Originariamente inviato da Fabio Heller
Il sistema più semplice è quello di memorizzare la data di ingresso di un utente nella pagine coinvolte dal sistema delle sessioni, rinnovare questa data ad ogni successivo accesso, sempre che questo avvenga entro un certo lasso di tempo , altrimenti dichiarare la sessione scaduta e distruggerla (vedere qui come).
io direi anche un bel controllo sull'ip, si sta più sicuri...