Я недавно решал похожую задачу — при переходе генерируется токен, в котором зашифрован user id, ip address и timestamp. Простая реализация и, имхо, достаточно хорошая безопасность. История, логи и тд не помогут, т.к. токен уже давно истечёт, а если кто-то там в реалтайме перехватывает, тут уже всё перехватят (ну и, возможно, даже в этом случае проверка ip address поможет). Никаких сложных схем городить не надо, тупо зашифровал AES-ом и всё, полностью stateless система получается.

Вообще по идее никаких проблем переходить через POST нет. Просто делай не ссылку, а форму с action на другом сайте. Браузеру особой разницы нет.