una sessione per definizione scade alla chiusura del browser.
si può tuttavia forzarne la distruzione con la funzione session_destroy().

ai cookie invece si può settare una scadenza, vedi set_cookie().