Session ile dediğin gibi sürekli AJAX ile istek atıp kontrol ettirebilirsin.
Ama kullanıcı tarayıcıyı kapatıp açtığı anda SESSION sıfırlanıyor ve siliniyor.
O yüzden bu anlattığım şekilde kullanıcı bilgisayarını kapatıp açsa bile oturum sürekli açık kalacaktır.
peki cookie ye direkt id değil token kaydetme sebebimiz ney, cookie ye erişim kolay diye okumuştum o yüzden mi yani direkt id ye 5 yazıp session ı 5 e atayamasın, benzersiz random token olsun onun kontrolüyle erişim sağlansın diye mi yani token + username yerine token + id de yapmam bir şeyi değiştirmez ama sadece id yapmam güvenlik için kötü olur o zaman demi