Hola!

Tengo un problema tratando de invalidar la sesion correctamente. mi login.jsp empieza pidiendo usuario y contraseña y si esta en la bd te envia a otro jsp.
El caso es que despues de invalidar la sesion, si intento acceder al segundo jsp directamente desde la url, la sesión sigue ahí y no se ha destruido...
el codigo para invalidar la sesion es muy simple:

<%
HttpSession sesion = request.getSession(false);
if( sesion != null ) {
// invalidating a session destroys it
sesion.invalidate();
}
%>

y en el 2º jsp compruebo que sea valida:

<% HttpSession sesionOK = request.getSession(false);
if (sesionOK != null)
{
if (sesionOK.getAttribute("usuario") != null)
{
//acciones....

}
}%>

Creo adivinar que es el browser quien esta guardando la informacion de la sesion de alguna manera, ¿alguien sabe como evitar el problema?

Gracias!!!!!!!!!