@SalityGEN, по коду пока только общие понятия, пока сам руками не попробую. К сожалению только учусь и многого не понимаю.
Я тут немного грамотных статей почитал и ещё больше запутался - как быть с куками для передачи сгенерированного идентификатора на яве на сторону сервера, если пользователь зайдет на сайт в режиме инкогнито? Плюс как проверить что пользователь запретил ява скрипт и не грузить сайт - таких вариантов я думаю будут еденицы, но всё же. Или пока что не забивать дурным голову? 
С моим решением механизм таков:
вот есть пользователь, ему дали пароль он доволен, тут он решил поделиться своим паролем от чего сам и остальные будут не рады!
так как смотреть смогут по очереди что не совсем удобно..
Но сам пользователь может смотреть в 2х браузерах, (тут +уязвимость кстати)
к примеру - 1 телефон + 1 пк
Привязываться к железу тоже не вариант, что если пользователь на всегда сменил устройство.
JS в данном решении не используется.
Данное решение не спасет если пользователь откроет платную статью, а в соседней вкладке разлогинится и передаст пароль другому.
По такой цепочке доступ получат сколько угодно людей и им просто не стоит обновлять страницу!
Вот тут нужно заставить страницу обновиться, на помощь придет js и 1 php файлик который будет опрашиваться с необходимым интервалом и давать ответ - обновить страницу или нет.
Предположим что люди поняли что работает такой механизм и решают отрубить js
на помощь приходит
<noscript>
<meta http-equiv="refresh" content="0;url=страница_куда_будет_послан_такой_пользователь.html">
</noscript>
в общем при отключенном js пользователя отправляем на страницу и говорим ему включи js иначе кина не будет