Bueno .. sin ver el código concreto no podría afirmar lo que te voy a comentar (podrías simplemente compartirlo por aquí (la sección que corresponde al tema).

Pero, mi comentario de "ni sesiones ni cookies" no va a que tu sistema de autentificación use sesiones o cookies para su gestión (de los datos privados de tu usuario, incluido si lo desdeas actualizar una variable de sesión para ese usuario que diga los usuarios activos) .. Pero el dato en sí de "quien hizo login" en tu sistema y sigue ahí lo gestionaras a base de una consulta a tu BD .. o similar donde usaras algún tipo de flag (o consulta SQL o similar) que indique su estado (activo o inactivo).

En resumen .. lo que me refiero que no puedes hacer es "consultar" por las sesiones en sí creadas por PHP para cada sesión iniciarla como para contarlas o identificarlas.

Un saludo,