Безопасность авторизованного юзера

Добрый день.
Хочу посмотреть, какие механизмы определения зарегистрированного пользователя используете вы.
Я имею ввиду, какой алгоритм вы используете, когда зарегистрированный пользователь авторизуется на сайте.
Я после успешной авторизации создаю сессию, содержащую id юзера, но я ой как не уверен в том что это дает сильную уверенность в безопасности.
Для мелких несерьезных скриптов этого достаточно, но для более серьезных скриптов нужны более серьезные решения.
Заранее спасибо

Добавлено через 04:04 сек.
привязку к ip, браузеру, итд итп тоже не считаю разумным решением.
динамический ip, использование сайта на телефоне и компьютере будут доставлять неудобства юзеру при использовании этого подхода.

Sid :-)

2, а как быть с cookies например?

3. eGo Работает на Себя, мне кажется и использовать тот же sid.

Че то я не уловил.
А что тебя смущает?

5. ramzes, как я могу использовать sid (session id), если например сессия будет разрушена, а кука будет существовать? не уловил

Сид всему голова ) когда нужна безопасность больше обычной, пользую эцп, одноразовыми паролями и криптозащитой

eGo Работает на Себя (20 Мая 2012 / 14:20)
5. ramzes, как я могу использовать sid (session id), если например сессия будет разрушена, а кука будет существовать? не уловил

один фиг не понял...

8. ramzes, если хранить в куке только id юзера, то это как минимум не безопасно и не очень элегантно. так?

9. это в обще глупо, если его только по ид с куки идентифицировать.
Лучше создать еще 1 поле в котором хранить временный хеш пользователя и его писать в куки. по чем и идентифицировать. При каждой авторизации пользователя - хеш менять. тогда все его пред. авторизации будут не актуальными