Ums nochmal klar zu stellen. Nein, die Session ist nicht weg nach schließen des Browserfensters. Was weg ist, ist das Cookie im Browser, das die Session-ID enthält und damit idealerweise jeder Hinweis unter welcher ID man die noch aktive Session findet. Hat aber jemand anderes die ID (zum Beispiel weil er in der Leitung mitlesen konnte, aus der Browser-History wenn die Session-ID mangels Cookie an die Adresse angehängt wurde etc.) kann er sich in die Session, innerhalb der 20 Minuten bis sie vom Server beendet wird, einklinken und kommt damit auch in dein Backend.