Folgende Lösung habe ich nun implementiert. Bei der Anmeldung wird in einem Hiddenfield des Anmeldeformulars
die Sessionid einer temporären Session hinterlegt. Nach der erfolgreichen Anmeldung wird diese temporäre Session invalidiert, so dass beim erneuten Senden des Formulars die Session als ungültig erkannt und abgelehnt wird. Im Prinzip also die Lösung von Carsten. Danke