Проблемный сценарий

Если пользователь А входит в приложение, затем идентификатор пользователя, установленный в сеансе. После выполнения некоторых задач пользователь А закрывает браузер и покидает компьютер. Некоторое время спустя, пользователь B зашел и открыл браузер и увидел приложение было в залогиненном состоянии. Пользователь Б Также можно открыть внутренний URL, который напрямую перенаправляет его в приложение без какой-либо аутентификации с использованием предыдущего сеанса.

Моя конфигурация

$config['sess_cookie_name'] = 'cisession';
$config['sess_expiration'] = 7200;
$config['sess_expire_on_close'] = TRUE;
$config['sess_encrypt_cookie']  = FALSE;
$config['sess_use_database']    = FALSE;
$config['sess_table_name'] = 'ci_sessions';
$config['sess_match_ip'] = FALSE;
$config['sess_match_useragent'] = TRUE;
$config['sess_time_to_update']  = 300;