Hallo Tom!

Das bedeutet also, dass der User die Rechte solange genießt, wie er es versteht, seine Session zu verlängern.

Neee.
In der Session speichere ich die User-ID, dass der User eingeloggt ist und den Zeitstempel, wann der Login erfolgt ist. Bei der Zugriffskontrolle wird geprüft, ob der User eingeloggt ist und wie lange der Login schon her ist. Wenn der Login eine bestimmte Zeit zurückliegt, wird der User zur erneuten Eingabe von Benutzernamen und Passwort aufgefordert und danach (wie oben schon beschrieben) nahtlos dorthin weitergeleitet, wo er eigentlich gerade hin wollte (mitsamt seinen $_POST Daten, so dass auch Eingaben nicht verloren gehen).
Bisher wird beim erneuten Login eine neue Session gestartet, was aber nach euren Aussagen ziemlich sinnfrei ist – richtig?

Solltest Du aber zwischendurch mal einen User, der schon eine Session von drei Tagen Dauer unterhält und nun langsam lästig wird, loswerden wollen, wie machst Du das? Seine Session-ID kennt nur da System. Wie findest Du sie heraus?

Dazu kommt es garnicht, da die Sessions eben in regelmäßigen Abständen gelöscht werden. Nämlich immer dann, wenn der User etwas aufruft und die Zugriffskontrolle feststellt, dass sein Login zu lange zurück liegt.

Gruß,

Claudius