Как добавляются и удаляются web push токены с персональными сообщениями?

Question

[Dmitry Bay]

К примеру, есть OneSignal, но это неважно (тот же FireBase).

Как правильно организовать работу персональных уведомлений, как это работает на Facebook.
Интересуют следующие ключевые моменты:
1) как обычно передается токен в момент логина.
2) как обычно стирается токен в момент разлогина? А если сессия просто умерла. Раньше я помню у большинства сайтов была проблема с такими уведомлениями. И Вконтакте и Сбербанк онлайн не стали исключениями. Даже сбербанк вроде бы и сейчас после выхода из приложениям все равно присылает пуш сообщения.
3) как хранить все токены отдельного пользователя? на уровне бэкенда их хранить и рассылать по пользователям? А что если там зоопарк токенов? Можно ли в OneSignal проверять, был ли пользователь активен в течении 2-3 дней?
4) Как вы вообще работаете с персональными PUSH нотификациями в ВЕБ/Приложение?

Как я вижу это, поправьте, если ошибаюсь;
1) Человек логинится.
2) мы запрашиваем вебпуш уведомления. если пользователь разрешает, то записывем токен в БД.
3) при необходимости, отправляем персональное push пользователю.
4) при необходимом разлогине отправляем информацию о том , что токен необходимо удалить.
5) но как быть, если хранятся устаревшие токены. Или сессия клиента закрыта, а токены все равно активны?