Hallo Frank,

demnach ist Dein serverseitiges Konzept kaputt. Repariere es, anstatt die Symptome mit Lacksprühfarbe schönzufärben.
[...] Das Problem mit Sessions ist, dass die Zuordnung nicht immer vollständig nachvollziehbar ist.

wieso nicht? Dein Client übergibt dir mit dem Request eine Session ID, sei es per Cookie oder URL-Parameter. Damit ist _dieser_ Client eindeutig identifizierbar.
Und wenn einer mit einer ungültigen (oder abgelaufenen) Session ID ankommt, dann wird er eben freundlich zum Login komplimentiert und bekommt damit eine frische, gültige Session ID an die Backe geklebt.

Ich könnte beispielsweise etwas einbauen, was beim Einloggen eines Benutzers alle anderen Benutzer mit der gleichen IP-Adresse ausloggt.

Könntest du. Aber was soll der Unsinn? Wenn mehrere Leute aus einem Firmennetzwerk mit gemeinsamem Internet-Zugang unabhängig voneinander auf deine Seite zugreifen, willst du alle rausschmeißen, sobald sich ein Neuer einloggt? Nein!

Nur wenn sich jemand einloggt, das Fenster einfach schließt, seine Internetverbindung trennt, wiederherstellt und nochmal am System einloggt, dann hat er eine andere IP-Adresse und eine andere Session.

Ja natürlich. Und? Warum interessiert dich die IP?

Ich sehe da keine Chance, herauszufinden, welcher Benutzer da vorher eingeloggt war und den entsprechend automatisch auszuloggen.

Brauchst du doch nicht. Lass die Sessions, auf die du nicht mehr zugreifst, nach einer gewissen Zeit verfallen. Ob ein Benutzer sich korrekt ausgeloggt hat, ist doch belanglos - oder befürchtest du Session Hijacking?

Schönes Wochenende,
 Martin