Estou com essa dúvida pois, coloquei minha aplicação inteira dentro do diretório WEB-INF, exceto a página de login.
O Tomcat deixa o diretório WEB-INF e seu conteúdo ocultos ao navegador.
Ao clicar em 'sair' no sistema eu consigo invalidar a sessão com req.getSession().invalidate(); e depois usar o reponse.sendRedirect("login.jsp"); pois, a login.jsp está fora do diretório WEB-INF.
Porém, se eu clicar em 'voltar' (no navegador), eu acesso novamente a aplicação.
Eu não acho que o problema seja a sessão, estou achando que o problema é que dentro da aplicação estou usando req.getRequestDispatcher("pagina.jsp").forward(req, resp); para navegar na minha aplicação. E a razão pela qual uso o forward(); é que não estou conseguindo redirecionar com sendRedirect("page.jsp") para páginas que estão dentro do diretório WEB-INF.
Não sei se consegui expressar minha dúvida.
De forma resumida, mesmo após sair da aplicação e matar a sessão, eu consigo voltar na aplicação apenas voltando a página no navegador. E acredito que este problema está acontecendo por eu usar forward() ao invés de sendRedirect("page.jsp"). E não uso sendRedirect("page.jsp") porque o navegador não enxerga meu conteúdo dentro de WEB-INF.
