Hai ragione, ho risposto senza rileggere i post precedenti
Il problema era lato client per come l'avevi posto inizialmente.

Per fare come dice bubu effettivamente diventa lato server.
Il come fare non è semplicissimo, probabilmente ci sono più modi per farlo e bisognerebbe vedere com'è organizzato il tuo codice. I cookie non c'entrano.
Diciamo che dovresti mettere una verifica in ogni situazione (o almeno in alcune delle situazioni) in cui per qualsiasi motivo vai a verificare lo status dell'utente. Se c'è una sessione aperta, e sono passati più di tot minuti dall'ultima attività, allora la devi chiudere.