Nja, wenn besser gemacht, dann haben die Token nur eine gewisse kürzere Lebensdauer. (nach 15 bis 60 Minuten läuft bei vielenen APIs so ein Sicherheitstoken ab)

Aber ja, "angemeldet bleiben" kann öfters auch Monate bis Jahre gültig sein.
Hier wäre es gut, wenn beim "Abmelden" solche Cookies ungültig werden und nächstes Mal mit neuem Wert erstellt.
Bzw. es gibt Webportale, wo jeder Client seinen eigenen Eingeloggtbleiben-Keks bekommt und man sie im Portal auch einzeln löschen/sperren kann. Oder zumindestens irgendwo einen Knopf "alle gespeicherten Logins löschen/sperren".