in genere io mi creo un token con una stringa data dal timestamp magari con md5 tanto per condire un pò; poi associo il token ad una sessione e ogni volta che invio navigo tra le pagine invio il token con il get e confronto il get con una sessione o un cookie; se la stringa è la stessa allora sto navigando nella stessa sessione; altrimenti butto fuori l'utente...