здравствуйте! есть механизм аутентификации пользователя для внутр сети. при правильной аутентификации создается сессия, которая живет до нажатия пользователем кнопки выйти. после этого хоть нажатие на кнопку в браузере обновить, хоть переход на предыдущую страницу - выкидывает на пустую страницу. но если вход был правильный потом выход правильный при новом запуске приложения вход на страницу пользователя происходит автоматически, без ввода пароля и логина. это ошибка. подумал что проблема в кешировании страницы, попытался устранить глюк следуя шагам, указанным на сайтах http://webo.in/articles/all/http-caching/
http://www.codenet.ru/webmast/php/caching.php#cache
http://xpoint.ru/forums/programming/server...read/4908.xhtml
но, к сожалению воз и ныне там. что с этим делать?

Добавлено через 3 минуты и 18 секунд
да, механизм аутентификации, создан без помощи нтмл-тегов, он получает ответы о правильности непосредственно от браузера и сервера и через бд мускл. т.е. в коде аутентификации есть прописаны только вызовы заголовков 

Как создается сессия? Что значит выход правильный? Как он происходит?

Казалось бы, при чем здесшь кэширование...

аутентификация верна если логин и пароль верный - здесь загружается рабочая область пользователя и сессия равна его ид, при завершении работы пользователь должен нажать ссылку выйти(здесь происходит session_destroy();). и вот тут возникает проблема - пользователь закрывает браузер, идет занимается своими делами, снова открывает браузер, прописывает адрес в строке запроса браузера и здесь снова должна произойти аутентификация- ан нет!, пользователь снова попадает на свою рабочую область. а если второй раз с его рабочего места зайдет другой пользователь и наделает неприятностей?
2Ипатьевпри чем здесшь кэширование? может и не в кешировании дело? тогда в чем?

зачем?

и     unset($PHP_AUTH_PW);
        unset($PHP_AUTH_USER); и session_destroy() не проходят
зачем? - чтоб пользователь аутентифицировался заново.

Eсли вы не заметили, то после session_destroy() пользователю НЕ приходится аутентифицировался заново

в общем, если вы не понимаете, что делаете, то лучше сделать "с помощью нтмл-тегов"

2 Ипатьев я понимаю что делаю, иначе бы не спрашивал. спрашивая надеялся на совет, через теги делать не могу(требование в тз  )

о, да. unset($PHP_AUTH_PW); говорит об этом очень красноречиво

Не могли бы вы скопировать сюда место в ТЗ, в котором написано про то, что надо сделать "без помощи нтмл-тегов"?
Возможно, имеет место какое-то недоразумение.

у меня инструкция распечатанная с принтскринами подобного приложения заказчик хочет так же.то есть в експлорере это окошко с ключиками, в виндовс 7 с цветочком красным и т.д - эти окно стандартные при вызове заголовков. unset($PHP_AUTH_PW); пробую хоть что-то.

да  не против. пробуйте.
только не говорите тогда, что что понимаете.  выберите что-то одно.

2 Ипатьев я пришел за помощью, а не одобрением. если есть что сказать по делу - говорите!

Добавлено через 42 секунды
и каждый суслик в поле агроном

Я написал. Два раза. Я то-то не заметил повышенного интереса к техническим вопросам. 
Вас больше интересовало объяснить всем, как много вы понимаете.

вовсе нет. технический вопрос - как же тогда убить сессию в данном случае(если session_destroy() и unset($PHP_AUTH_PW))? что писать вместо PHP_AUTH_PW? уже пробовал $_SERVER['PHP_AUTH_USER']  и $_SERVER['PHP_AUTH_PW'] - все без изменений?

Добавлено через 1 минуту и 38 секунд
если Вы(Ипатьев) считаете что проблема в том что я чего-то не знаю, будьте добры, скажите конкретно в чем беда?

Добавлено через 1 минуту и 59 секунд
и что нужно знать

Знать нужно очень много. протокол НТТР в целом и механизм (несложный) НТТР авторизации в частности. Чтобы хотя бы не возникало желания делать unset(PHP_AUTH_*)

Технический вопрос - зачем убивать сессию. И вообще, и - особенно - в данном конкретном случае. Это раз.

Техническая ремарка: Если пользователь ставит галочку "запомнить пароль" в этом окошке, то он входит точно так же, несмотря вообще ни на какие наши желания.
Техническая рекомендация вам придется очень попотеть, чтобы сделать этого франкенштейна из сессий и НТТР авторизации. Поэтому я настоятельно рекомендую сделать по-человечески, на одних сессиях. Иначе может совсем не получиться. Только если придет Питлорд и все распишет