Puoi scriverti un sistema di gestione delle sessioni basato sul database, e poi fai alcuni controlli al momento del login. Ad esempio:
- se c'è un login da un utente già presentato, puoi rifiutarlo. Problema: se l'utente ha chiuso il browser senza fare il logout, non potrà più entrare finché la sessione precedente non è scaduta.
- oppure, puoi memorizzare l'indirizzo ip da cui avviene il login. In questo caso puoi negare il nuovo login solo se l'indirizzo ip è diverso. Questo però non è risolutivo, perché un utente potrebbe sempre loggarsi due volte dalla stessa intranet.