Quella è la fase di autenticazione e mi può anche star bene, ma non mi sembra che hai previsto una logica per un accesso esclusivo da parte di ciascun utente. Se l'utente X si autentica, e successivamente lo fà l'utente Y con gli stessi dati di X, come pretendi di poter escludere Y?