セッションタイムアウト、自動ログアウトの仕組みが知りたい

なにかこのトークンを用いて自動ログアウトを実装できないものでしょうか。

どのようなトークンをお使いかにもよりますが、最近よく使われるJWTであれば、トークンの有効期限がトークン内に入っているので、それを使うのが一般的だと思います。トークン内の有効期限はJavaScriptからも読み取れますが、わざわざそうしなくても、

1. ユーザーが機能を実行しようとするとJavaScriptがAPIを呼び出す
2. APIがトークンを確認したところ有効期限を過ぎているのでタイムアウトエラーを返す
3. JavaScriptがタイムアウトエラーを受け取って「セッションタイムアウトしました」などの表示をする

くらいでよいかと思います。上記は一般的な実装です。ユーザーが何もしないのに「タイムアウトしました」と表示するサイトも中にはありますが、そうしたければsetTimeoutでトークンの有効期限チェックを定期的にすればよいと思いますが、個人的にはそこまでしなくてもよいのではないかと思います。

PHPでも基本的にはクッキーを利用したセッションIDでセッション情報を管理しているので
クッキーの生存期間が切れた時点でセッションの引き継ぎはできなくなります

認証システムが組み込まれたフレームワークを使いましょう。

例えば ASP.NET Web アプリでは、ユーザーがログインに成功して認証されると、Web サーバーは認証チケットをクッキーに入れてクライアントに送信します、以降クライアントはアクセスのたびそのクッキーを要求ヘッダーに含めてサーバーに送信するので認証済みユーザーであると認められます。

有効期限は認証チケットに含まれているので、サーバーはそれをチェックして、期限切れなら認証が必要なページにはアクセスを許可しません (ログインページにリダイレクトします)。

そこには JavaScript の出番はありません。たぶん、ASP.NET に限らず認証に JavaScript を使っているフレームワークはないのでは？

何にせよ初学者が自分で認証システムを実装するのは、勉強のためちょっと試してみるということならともかく、実用にはならないと思います。セキュリティホールだらけになるでしょうから。

【追記】

前のスレッド https://teratail.com/questions/sg2306hp8gv0jh を見ると React の話のようですが、その場合はクッキーではなくトークンを使うことが多いようです。

ASP.NET Core Web API + IdentytyServer をバックエンドに使う場合、以下のスレッドの私の回答で書いたトークンを使うフレームワークが用意されています。

SPAの認証方法について教えて下さい
https://teratail.com/questions/qs7cxtc0ymydxn

認証操作に使う jsx ファイルも実装されているので、Visual Studio 2022 を使える環境があるなら一度アプリを作ってどう動いているか見ると参考になると思います。

JavaScript側は関係ないです。
セッションはあくまでサーバーサイドで持っているセッション情報が保持されているかどうかで判定します。
サーバーサイド（の言語）の設定です。

setTimeoutはあくまで一定時間でクライアント側で処理を行うものであり、セッション情報は全然関係ありません。