セッション変数にログインフラグを持つ。
セッションはログイン時に再取得する（セッションハイジャックされないために）。
……というのが基本。