login session은 발급·회전·폐기 수명을 가진다

client cookie 삭제만으로 끝내지 않고 server store의 token 상태를 원자적으로 바꾼다.

1. Create

login 성공 후 random token 발급

2. Use

매 요청 hash lookup과 만료 확인

3. Rotate

기존 token 폐기 후 새 token 발급

4. Logout

store revoke와 Max-Age=0