Bei mobilen Clients oder Clients, die zwischen kabelgebundenen und drahtlosen Netzwerken wechseln, kann sich die IP-Adresse ändern. Am besten wäre es wahrscheinlich, jedem Client bei der ersten Verbindung eine zufällig generierte UID bereitzustellen (falls er das Cookie nicht bereits hat). Dann können Sie überprüfen, ob derselbe Benutzername nicht mit zwei verschiedenen UIDs eine Verbindung herstellt.
Der Trick besteht darin, dass Sie sicherstellen müssen, dass diese UID zeitlich begrenzt ist, damit der Benutzer nicht gesperrt wird, wenn er zu einem anderen Computer wechselt. Vielleicht ist eine Änderung an der UID in Ordnung, aber sie können nicht auf eine bereits verwendete UID zurückgreifen?
