Hola:

No sé si ya lo has probado. Por un lado httpsession.invalidate(), por otro lado, en las cabeceras http-header poner non-cacheable. Lo primero borra todos los datos en sesión, lo segundo impide que el navegador se quede la página en la caché. No he probado ...

Se bueno.