Ribadisco che basta che tu legga la parte del manuale sulle sessioni.

Non ci vuole molto. Quando uno effettua un login salvi una variabile di sessione con il tempo dell'ultimo accesso. Ad ogni accesso ad una pagina aggiorni quel valore impostando la data e ora corrente. Se all'accesso di una qualunque pagina la variabile di sessione "last access" e' piu' vecchia di .. che so.. 20 minuti, neghi l'accesso.