Hallo Forum,
bei einem Loginverfahren speichere ich in die SessionID (Tomcat) ein (User-)Objekt, falls die Logindaten in Ordnung waren. (User ist authentifiziert)

Auf den folgenden Seiten überprüfe ich dann nach jedem Klick, ob in der SessionID nur ein (User-)Objekt vorhanden ist. Falls ja, ist er weiterhin authentifiziert.

Meine Frage lautet gerade nun, da ich mich noch nicht mit Tomcat befasst habe und nicht genau weiß, die wie SessionID-Verwaltung abläuft, ob man generell SessionID's faken kann, da der User die SessionID ja über die Adresszeile sieht, bzw. über die Verlinkunen mitgenommen werden.

Grüße