La validación que hagas de tus variables de sesión que creas (supongo) cuando tu usuario se autentificó debes hacerlas en todas las páginas y scripts que requieran autentificación.
Si requieres redireccionar si tu validación de tus variables de sesión no están creadas (=no se autentificó tu usuario) .. redirecciana vía PHP no con javascirpt/meta de refresh como "parece" que lo haces con:
Código PHP:
header("Location: login.php");
exit;
Un saludo,