Hola herwex,
lo único que se me ocurre es que una vez tengas al usuario logueado, lo guardes en una tabla.

Entonces:
Cada vez que un usuario se intente loguear, antes la aplicación que mire si éste figura en la tabla.

Está?
Acceso denegado.
No está?
Le dejas pasar.

Al cerrar la sesión, lo sacas de la tabla.

Para hacerlo más cómodo, hacerlo en un interceptor propio.

Un saludo.