Hola.

No creo que esté mal. Por lo menos yo lo hago de otra manera, yo en la pantalla que verifica Usaurio/Clave en la BD, creo una cookie y en cada página que tenga información confidencial (por llamarla de alguna manera), verifico que el cookie exista y si no existe lo mando a la página de logeo luego de enviar un mensaje "La Sesión ha caducado".

Lo que tienes que estar pendiente es de borrar la sesión en el momento preciso, para evitar que se metan infiltrados.

Suerte. Espero te sirva de algo.