Allora l'unica soluzione e' il token nella query string, che sia il session_id o uno personalizzato.