ip tambien podrias inplementarlo añadirias mas filtros (token,user,nivel,ip) esta bien si puedes hacerlo .

lo de el token de eliminar ay una manera mucho mejor

crea una tabla especifica de tokens , con id-token-time y ip si kieres

un script que compruebe si el usuario lleva sin navegar mas de x minutos y si es asi se destruye , entnces al navegqr los usuarios estaran ejeuctando dicho script todo el rato y asi eliminando tokens sin usar (no se si me entendiste)