O que usar quando o usuário não permite o cookies?
grupo_cafezinho@hotmail.com
"O que usar" é uma pergunta meio vaga.
Obviamente depente do que você quer fazer…
Se a informação não precisar ser permanente entre várias conexões, acredito que o mais prático seja guardá-la na session.
Se for para rastrear o usuário num futuro acesso, a solução é salvar os dados do atual acesso no banco de dados.
Porém, se for para preservar o mecanismo de sessão, deve ser utilizada a técnica de ´url encoding´. A biblioteca javax.servlet.http fornece o seguinte método: java.lang.String encodeURL(java.lang.String url), ela embute o SessionId no url e o servidor, quando a receber de volta, o decodifica transparentemente.