Hi Michael,

vielen Dank für deine ausführliche Antwort, auch wenn mir das meiste bezügl. Session-IDs schon klar war.

Stell Dir vor, Du hättest während einer Session eine konstante IP-Adresse.
(Das ist überwiegend der Fall und liefert ein anschauliches Beispiel.)
Würde ich Dir eine Session-ID liefern, dann würde ich beispielsweise die
IP-Adresse, die Du mir übertragen hast, in diese Session-ID mit hinein
codieren. Bei jeder weiteren Anfrage kann ich sie wieder extrahieren und
damit feststellen, ob diese Anfrage tatsächlich von demjenigen Client kam,
der sich die Session-ID ursprünglich geholt hat.
Einen Zugriff mit demselben URL von einem anderen PC (mit einer anderen
IP-Adresse) kann ich damit vom ursprünglichen PC unterscheiden; ein
cut&paste in einen anderen Browser desselben PC beispielsweise nicht.

Ich könnte natürlich noch mehr Informationen mit verschlüsseln, etwa den
UserAgent ... oder auch den HTTP_REFERER, falls Dein Browser mir zuverläs-
sig einen solchen sendet. Je mehr Informationen ich in der Session-Kennung
speichere, desto genauer erkenne ich Dich wieder.

Habe ich dich richtig verstanden, dass du Dinge wie IP-Adresse in den "Session-ID-String" (oder wie man das auch nennen will) einbauen willst?
Mir erschiene es sinnvoller diese Dinge nicht dort einzubauen sondern mit der Session-ID beim Login zu speichern und dann bei jedem Aufruf auf Übereinstimmmung zu überprüfen. So spart man sich (De)Kodierung und die Gefahr, dass in dieser Hinsicht etwas manipuliert werden könnte.

Viele Grüße,
 Erik