Und genau so den Timestamp des letzten Requests, um die Session nach X Minuten zu leeren, und ein neues Login zu fordern.

Dafür gibt es doch session.gc_maxlifetime

Nein, das ist für exakt arbeitende Logouts unbenutzbar. PHP arbeitet mit einer Löschwahrscheinlichkeit für die alten Session-Daten. Default: 1%.

Es spricht nichts dagegen, diesen Wert hochzusetzen. Aber wer drauf steht, kann es natürlich auch manuell machen.