Либо к базе, либо создавай файлы с названием токена и проверяй наличие каждый раз в папке этого токена (при отсутствии файла делай session destroy)
2 вариант еще удаленно удалять сессию таким методом
session_id($old_session_id);
session_start();
session_destroy();
Логика получается такая:
смотрим куки,
если нет -> отправляем на авторизацию
если есть -> проверяем есть ли сессия - если нет -> отправляем на авторизацию
если есть -> проверяем соответствие токена кук и сессии -> если не равно -> отправляем на авторизацию
если равно -> значит пропускаем
