semplicemente una volta che l'utente si è loggato sulla pagina iniziale devi settare una variabile di sessione a true che indica che l'utente è loggato. All'inizio di ogni pagina che devi proteggere fai un controllo su quella variabile di sessione, se è true allora puoi visualizzare la pagina, altrimenti se è null o qualsiasi altra cosa devi bloccare tutto o stampando a video qualcosa oppure reinviando l'utente verso la pagina di login