Invalidar sesion en JSP

Hola!

Tengo un problema tratando de invalidar la sesion correctamente. mi login.jsp empieza pidiendo usuario y contraseña y si esta en la bd te envia a otro jsp.
El caso es que despues de invalidar la sesion, si intento acceder al segundo jsp directamente desde la url, la sesión sigue ahí y no se ha destruido...
el codigo para invalidar la sesion es muy simple:

<%
HttpSession sesion = request.getSession(false);
if( sesion != null ) {
// invalidating a session destroys it
sesion.invalidate();
}
%>

y en el 2º jsp compruebo que sea valida:

<% HttpSession sesionOK = request.getSession(false);
if (sesionOK != null)
{
if (sesionOK.getAttribute("usuario") != null)
{
//acciones....

}
}%>

Creo adivinar que es el browser quien esta guardando la informacion de la sesion de alguna manera, ¿alguien sabe como evitar el problema?

Gracias!!!!!!!!!

Podrias guardar como atributo de sesion ese nombre de usuario (request.getSession().setAttribute("nombreUsuario" , nombreUsuario), y al hacer logout borrarlo (request.getSession.removeAttribute(nombreUsuario) , y luego en vez de comprobar si existe sesion o no, compruebas que haya un nombre de usuario distinto de null (if(request.getSession.getAttribute(nombreUsuario) !=null){...)

Hola Jesus, he probado a borrar el atributo usuario antes de invalidar la sesión, pero no he conseguido nada, al poner la url directamente sigue cogiendo la sesion de algun sitio y el usuario no se ha borrado

A proposito, utilizo

<%@ page session="false" contentType="text/html" %> al principio de la pagina jsp.

Estoy seguro de que las paginas se quedan en la cache del navegador y por eso puedo volver sin loguearme. ¿Sabéis de algun script para evitar que queden en la cache?

Gracias y saludos!!!

Wenas.

session.invalidate().

Saludos.

hay que tener cuidado al usar el metodo invalidate(), esto porque elimina todas las sesiones, y perjudica cuando guardamos objetos java en una variable sesion...