Refactor so createSession/process are called after identity is stored.
Fix invalidateCredentials to actually invalidate the credentials.