Hell-O!

Nun die Frage: Wie lange behält dieser User die ihm zugewiesene Session ID?

Für immer und ewig. Natürlich kann ein User unendlich viele Session-IDs erhalten.

Bis er den Browser schließt?

Dann werden Sessioncookies gelöscht, sodass keine Informationen über diese Session-ID auf Nutzerseite mehr zur Verfügung stehen. Wird die Session-ID als GET-Parameter mitgegeben, existiert die Information über die ID unabhängig davon, ob der Browser geschlossen wird, weiter, nämlich in der Liste der aufgerufenen URLs oder im abstrusen Fall auf einem Notizzettel. Ob dieser ID dann auch eine gültige Session zugeordnet werden kann, hängt nicht vom User ab.

Oder gibt es eine maximale Lebenszeit?

Für die ID nicht, aber für die Session.

Siechfred