смотри в сторону middleware. Во многих (если не во всех) фреймворках этот механизм включен "из коробки". По сути при авторизации записываешь хеш в сессию и на сервер, при попытке входа в лк сверяешь, есть ли такой хеш, если нет, то ошибка (ну или редирект на главную).
