un metodo potrebbe essere quello di fare una tabella tipo questa:

id, idsessione,idutente, datainizio, ultimamodifica

a ogni operazione dell'utente o meglio a ogni cambio pagina modifichi il campo ultimamodifica, in modo da sapere sempre quali sono le sessioni 'attive', e ogni volta che qualcuno fa il login, oltre a verificare le credenziali controlli anche se le sue n sessioni attive sono superiori a quelle che le hai concesso per contratto.