Du kontrollierst doch bereits anhand der Session ob der User eingeloggt ist.
Erweitere diese
Prüfung einfach um
last_action > NOW() - 1200
falls deine Sessions über MySQL laufen bzw.
i$_SESSION['last_action'] > time() + 1200
falls du den Standardsessionhandler verwendest.
Das Attribut last_action setzt du jedesmal auf NOW() bzw. time(), wenn der Login Check positiv ausfällt.