セッションタイムアウトを指定すればいいですよ。
最後のアクションを表示してくれるタイムスタンプを使って、
リクエストがあるごとにアップデートしていけばOKです。

if (isset($_SESSION['LAST_ACTIVITY']) 　　　&& (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) { // 最終アクションが30分より前であれば last request was more than 30 minutes ago session_unset(); // 30分以上経っていた場合、もとのデータを削除する session_destroy(); } // 最後にアクティブだったタイムスタンプ $_SESSION['LAST_ACTIVITY'] = time();

リクエストごとにセッションデータをアップデートすると、セッションファイルの「最終変更日時」の設定も変わりますので、連動してセッション自体が自動的に消えてしまうことはありません。

追加のタイムスタンプを使って一時的にセッションIDをもう一度発行することもできますよ。そうするとセッションに対する攻撃を防ぐことができます。

if (!isset($_SESSION['CREATED'])) { $_SESSION['CREATED'] = time(); } else if (time() - $_SESSION['CREATED'] > 1800) { // 30分以上まえに始まったセッション // セッションIDを新規発行して古いセッションIDWo無効化する session_regenerate_id(true); //　新規発行時間をアップデート $_SESSION['CREATED'] = time(); }

※時間指定について
session.gc_maxlifetimeは少なくともタイムアウトするまでの時間と同じにしておく必要があります。
念のため。