Quieres evitar "concurrencia"? .. es decir; que una misma cuenta de usuario (usuario/password) no sea usada hasta que la libere el que la esté usando?.

En principio la técnica del "flag" (ese true/false que comentas) te serviría .. el problema es que si el usuario X no sale por la "puerta" (por donde puedas poner tu ese flag a "false") vas a dejar "bloqueado" el sistema por siempre.

La solución para esos temas es usar fechas/hora de ingreso al sistema y actualizar dicha fecha en cada petición al servidor (en cada página que se mueve el usuario de tu aplicación). A la hora de pretender entrar otra persona con esa misma cuenta (usuario/password) miras esa fecha/hora y determinas un "tiempo de inactividad" que será el tiempo que consideres como "el usuairo me salió del sistema por la puerta de atras" .. así dejas autentificar nuevamente a esa cuenta...

Un saludo,