как вариант отслеживать присутствие юзера... и не давать войти дважды... но.. смотри... чел зашел, ты поставил ему статус онлайн... он зарыл браузер и ушел, но не разлогинился а у тебя по прежнему он в онлайне.... в таком случае можно давать время... скажем 15 мин неактивности считать ущедшим...
а вообще идея такова, юзер залогинился.. ты у себя отмечаешь его статус в онлайн, разлогинился или таймаут ставишь офлайн... и при каждом заходе юзера проверяешь статус, если данный логин онлайн то не давай входить...
Felix