Tach!

Du könntest dafür sorgen dass er sich gar nicht erst einloggen kann, z.B. auf der Login Seite die Eingabefelder mit JS einfügen oder den Submit per JS ausführen oder so.
Naja, der Nutzer könnte ja innerhalb des Loginbereichs das Javascript deaktivieren und darum geht es. Und ich möchte nicht, dass er ohne Logout die Seite schließt.

Versuche nicht, die Kontrole über den Browser des Benutzers zu erlangen. Verhindere stattdessen auf dem Server, dass er sein Ziel nicht erreicht, wenn er die dazu notwendigen Voraussetzungen (lies: Berechtigungen) nicht erfüllt. Alles andere kann dir im Grunde egal sein. Selbst wenn du ihn mit Location-Headern wegzuschicken versuchst, kann er das ignorieren und trotzdem eventuelle unerwünschte Anfragen stellen.

dedlfix.