$token_controlador = time();
$token_segundos = 600;10minutos
$token_controlador_final = $token_controlador - $token_segundos;

/*borrar datos token mas de 10 min*/
mysql_query("delete from token where controlador < $controlador_controlador_final") or die ("pagina de error");

mas o menos esta es la idea para borrarlos , cualquier usuario ejecutara este script al navegar y borrara tokens sin usar en 10 minutos

podrias usarlo en una tabla nueva o en la misma de usuarios