PHP-сессии работают путем сохранения в браузере пользователя файла cookie, содержащего идентификатор сессии на сервере. Поэтому сеансы PHP работают точно так же, как обычные куки .
Если вы закрываете браузер, куки сохраняются.Сервер не знает, какой экземпляр браузера использует пользователь, перезапустил ли он браузер или даже перезапустил компьютер.
Предоставление кнопки выхода из системы является наиболее обычной практикой, ноесли по какой-то причине вы требуете, чтобы пользователь вышел из системы при закрытии браузера, вам придется реализовать что-то на стороне клиента, так как браузер не отправляет на сервер никаких сигналов при закрытии.
Если вы беспокоитесь о безопасности - то есть вы программируете приложение с высокой степенью защиты, такое как платежный шлюз - вы можете следовать практике банковских веб-сайтов или других платежных шлюзов;
Когда пользователь возвращается всайт, они все еще вошли в систему, но когда они пытаются выполнить какое-либо действие, которое повлияет на вошедшего в систему пользователя, повторно пройти аутентификацию с другим экраном пароля или запросить некоторую запоминающуюся информацию.