Lieber Tobi,

Du könntest beim Login mitspeichern, unter welcher IP der einloggende Aufruf erfolgt ist. Wenn eine Session besteht, dann darf sich innerhalb dieser Session die IP-Adresse natürlich(!) verändern, denn manche ISP verwenden mehrere Adressen, sodass ein Kunde unter Umständen für jeden Request eine andere IP haben könnte.

Schema:
1. Request -> Prüfung auf erfolgten Login (Session vorhanden)
1. a) Login war bereits erfolgt -> Inhalte ausgeben
1. b) Login war nicht erfolgt -> 2.

2. Berechtigung zum Login prüfen -> letzte Useranmeldung ermitteln
2. a) Letzte Anmeldung wurde auch wieder korrekt abgemeldet. -> Login zulassen
2. b) Letzte Anmeldung wurde nicht korrekt abgemeldet. -> 3.

3. IP überprüfen -> gleiche IP wie bei letzter Anmeldung
3. a) User erneut anmelden lassen
3. b) Prüfen, wie lange die letzte Anmeldung zurück liegt
      und erst nach X Minuten eine erneute Anmeldung zulassen
      (mit der Bitte um korrektes Abmelden, um solche Störungen zu vermeiden)

Das wäre meiner Meinung nach der sinnvollste Weg. Alternativ kannst Du in 3.b) auch eine Sperrung des Accounts vornehmen, oder einfach mitzählen, wieviele gleichzeitige unbeendete Anmeldungen unter diesem Account stattfinden, um ab einem Limit eine Sperrung einzurichten... usw.

Liebe Grüße,

Felix Riesterer.