Bocs, nem figyeltem, hogy browser, csak arra, hogy fejlesztés topic...
Ha viszont browser, akkor a cookie miért nem jó?
Vagy alternatív eset, ha nagyon nem akarsz cookie-t: POST-tal az auth, visszajön válaszban egy HTML redirect, ami lekérésére mondjuk adsz egy 10 mp-es időablakot a szerveren, plusz még ellenőrizheted az IP-címet is.