Witam, jak się zabrać do tego? Założyłem że przy logowaniu będę wlepiał ciastko z user id, przy powtórnej wizycie sprawdze czy ciacho istenieje i wkonam funkcję RemoteLogin jeśli ciacho == true. W funkcji remotelogin porównam obecne ip delikwenta z ip ostatniego logowania i jeśli będą identyczne to utworzę nową sesję. Po namyśle jednak doszedłem do wniosku, że w przypadku dużych sieci łatwo będzie o nadużycia, wystarczy że jeden z userów zmodyfikuje wartość swojego ciasteczka, ip zewnętrzne mają przecież takie same użytkownicy danej sieci i ów delikwent przy powtórnej wizycie zostanie zalogowany na cudze konto... Chętnie poznam Wasze sugestie.

W ciastku trzymaj id usera i hash generowany przy każdym logowaniu i zapisywany w bazie.

Przy wejściu na stronę sprawdź poprawność ID i hash (mógłbyś dać np. zaszyfrowane hasło, ale wtedy łatwiej o deszyfrowanie).

Dzięki temu masz też pewność, że nie zaloguje się 5 osób na jedno konto (nowe logowanie znaczy zmianę (generowanie nowego) hash'a).

Na dobrą sprawę z hashem mogę sobie darować walidację ip? starczy np sha1 z microtime? czy coś bardziej zaawansowanego ?

To może być dowolny ciąg odpowiednio długi aby wykluczyć powtarzalność.

I wtedy IP nie gra roli (może być zmeinne, etc). Możesz zapisywać sobie w bazie wejścia z zapisaniem IP jeśli chcesz śledzić odwiedzających.

Ok dzięki :-)