Wenas, tienes varias opciones:

1. Utilizar HDIV - http://www.hdiv.org/ para impedir que un usuario modifique la url (en caso de intentar copiar y pegar como dices, hdiv lo detecta y le redirige a una página de error).

2. Utilizar JSF o algún framework que controle la vista, de manera que utilizando variables de sesión o Spring Security o similar te valdría sin necesidad de utilizar HDIV, ya que la url siempre seria: www.loquesea.com/usuarios.jsf, por ejemplo, donde estaria la gestión de usuarios, a diferencia de www.loquesea.com/usuarios.htm?idUser=123 donde un usuario podría cambiar ese 123 por otro id y entrar en el espacio que no le corresponde.