ciao, non fai prima a mettere una variabile in sessione che indica che l'utente è loggato ??

in ogni servlet controlli se la variabile di sessione esiste o è null.... se è null vuol dire che non è stata fatta la login.

In questo modo non scrivi niente sulla macchina locale ma resta tutto nel server....