Pravio sam ja to, ukratko svaki put kad se korisnik loguje snimis u bazi sessionID korisnika, i pri svakoj poseti gledas da li je sessionID u sesiji isti kao i u bazi. Kada ne bude isti samo izlogujes korisnika.
Znaci ja dodjem sa Admin userom i logujem se, u bazi je moj session ID i ja sam logovan regularno i sve funkcionise prirodno.
U jednom trenutku ti dodjes i logujes se identicnim tim Admin userom - u bazi se snimi tvoj sessionID, i cim ja refresujem stranicu sistem ce me izlogovati jer moj sessionID se vise ne slaze sa onim (tvojim) u bazi.