Nun bleibt die Frage wie sorge ich dafür das ein Nutzer eindeutig identifizierbar bleibt?

Der Nutzer ist _nie_ eindeutig identifizierbar. Mit keinem derzeit üblichen System.

Bei Sessions habe ich leider keine Seite über die ich EINMAL hinweggehe.

Jede Seite, die der Benutzer aufruft, kann eine Session initieren. Wenn sie dann einmal da ist, wird man sie so schnell nicht wieder los, es sei denn man gibt sich Mühe. :-)

Ausserdem habe ich das Problem, sollte einer einmal Refresh auf seinem Browser klicken ist die Session_id weg, oder ist das nur bei mir so?

Die Session (incl. ihrer ID) bleibt erhalten, bis sie beendet wird, d.h. bis der Benutzer seinen Browser schliesst oder eine Seite aufruft, die die Session terminiert. Ein Refresh oder Reload terminiert die Session nicht. Vorausgesetzt wird natürlich, dass die SID bei jedem Aufruf einer Seite an den Client weitergereicht wird, auf welchem Wege auch immer (Hostname, Pfad, Cookie, GET-Parameter...).

regards,
Andreas