Tja, da hast du wahrscheinlich ein Problem. Denn so auf den ersten Blick wird eine Version der Seite immer aktuell geladen und nur eine Version kann im Cache gespeichert werden. Richtig kompliziert wird es ja dann, wenn der User sich ausloggt und die Seite nicht verlässt (sowas soll ja auch vorkommen).

Falls ich es immernoch nicht verstanden habe, schicke mal bitte ein Beispiel mit datei.php – wie würdest Du die Header setzen, wenn der User nicht eingeloggt ist und wie, wenn er eingeloggt ist? Ich denke, dann wird es klarer.

Ein "Cache-Control: no-cache"-Angabe speichert trotzdem im Cache, setzt aber eine bestehende Online-Verbindung voraus, um die "Document modified"-Abfrage durchzuführen. Ist dieser Header gesetzt, kann man im Offline-Modus nicht auf diese Cache-Version zugreifen. Du zwingst damit den User sozusagen online zu sein, und auf neuere Dokumente zu prüfen, wenn er die Webseite abrufen will und damit kein reines Cache-Using (offline) zu erlauben (nur deswegen heißt es etwas verwirrenderweise "no-cache").

Willst du speziell erreichen, dass im eingeloggten Zustand wirklich eine neue Version geladen wird und damit der Cache umgangen wird, dann setze eine "Expires"-Header in die Vergangenheit und einen zusätzlichen "Last-Modified"-Header mit dem aktuellen Datum (siehe Bsp oben). Ohne den neuen Last-Modified-Header hat sich aus Sicht deines Browser ja nichts am Dokument geändert, deshalb ruft er auch den Cache auf beim ersten Mal.

Zu deiner Pragma-Frage, verweise ich dich mal auf Microsoft selbst: http://support.microsoft.com/kb/234067

header('Cache-Control: no-cache, must-revalidate, proxy-revalidate');
header('Pragma: no-cache');
header('Expires: Thu, 15 Aug 1984 13:30:00 GMT');
header('Last-Modified: '. gmdate('D, d M Y H:i:s') . ' GMT');

durch ein beliebiges Expires-Datum in der Vergangenheit erzwingt man immer eine neue Version, dann wird grundsätzlich nichts aus dem Cache genutzt.

Nur was DU genau erreichen willst ist mir nicht klar. AJAX ist (in den meisten Fällen zumindest) das Anfordern eines XML-Dokuments, dessen Inhalte dann per Javascript auseinandergepflückt und dynamisch in dem DOM-Tree eingefügt werden. Das einzige, was hier den Cache ansich beansprucht ist das Laden des XML-Dokuments. Und ob das aktuell ist oder nicht, muss auf der Serverseite analysiert werden – der Cache des Users hat damit nichts zu tun. Du validierst die Session serverseitig und schickst dem User dann entweder ein Loginformular oder einen "Hallo User"-Text. Der Browser selbst weiß doch gar nicht, ob die Session noch valide ist und es wäre auch blödsinnig, dem die Entscheidung zu überlassen.

Die Frage nach 1.0 vs. 1.1 wird dort übrigens auch (kurz) angeschnitten.

Zur Not kann man sich auch mit einer anderen Datei aushelfen. Ist der User nicht eingeloggt, wird die index.php gesendet. Ist der User eingeloggt, wird z.B. index2.php gesendet. Dann kann man sich relativ sicher sein das die Seite neu geladen wird und im Browser-Cache zwei unterschiedliche Dokumente liegen (User eingeloggt / User nicht eingeloggt).

Die Cache-Steuerung stammt halt aus einer Zeit als JavaScript und kurzfristige Änderungen am Dokument (Ajax) noch nicht existierten. Hier treffen halt immer noch zwei Welten aufeinander.
Die Cache-Steuerung wurde ursprünglich nicht für Browser entwickelt, sondern für Proxy-Server. Deswegen kann es passieren das du mit deiner Lösung beim User trotzdem nicht das erreichst was du erreichen möchtest. Denn Sobald ein Proxy mit älterer Software dazwischen geschaltet ist (z.B. veraltetes Firmennetzwerk), wird es nicht mehr funktionieren. Einfach mal in die Apache-Manuals schauen:
"Note that HTTP/1.0 caches might not implement Cache-Control and might only implement Pragma: no-cache" (Apache-Manual)
Ich deute das so, dass sich die Cache-Steuerung immer an das "schwächste Glied" in der Kette hält. Ist also ein HTTP/1.0-Cache irgendwo aktiv, wird deine Cache-Steuerung ignoriert.