Die existenz einer gültigen Sessiondatei hat mit dem "Anmeldestatus" nichts zu tun. Der sollte über einen eigenen Mechanismus gesteuert werden. Der ist am besten in der und um die Datenbank herum abgesiedelt. Dann ist die maximale requestfreie Loginzeit auch für jeden User einzeln steuerbar.
jo, eine entsprechende session-datenbank ist nicht zu verachten - ich fürchte ich bin session-seitig etwas durch asp/vb/iis etwas verwöhnt ;) da ist das handling von sessions teilweise etwas angenehmer