>Достаточно ли будет создать таблицу с именем пользователя, его IP адресом, и временем начала сессии.

IP точно недостаточно, многие ходят из-зи фаервола, нужно обязательно использовать имя. Можно идентифицировать по кукам, но по-моему по имени логичнее, но это зависит об требований к интерфейсу. Например позволяется ли одному юзеру заводить много сессий.

У нас для авторизации используются id сесии (sessionID), которые присваиваются юзеру в момент успешного логона и живут в куках и в базе. Если хочешь большей безопасности, то sessionID можно менять каждый раз, когода юзер приходит на сайт за новой страницей.

Юзеры никогда не нажимают логаут, сессии нужно чистить руками, например раз в N секунд очищать устаревшие сессии из таблцы или где они там у тебя будут храниться.

>Как сделать так чтобы страница ... была доступна только проавторизировавшимся пользователям.

Если страницы формируются динамически и ты сначала проверяешь права юзера, то доступ к заданной странице получится автоматически, неавторизованные юзеры его иметь не будут по причине отсутствия страницы. Не знаю как это просто сделать в случае статических страниц.

Вообще по-моему нужно сразу настраиваться на трехзвенную архитектуру, средний слой должен быть обязательно, вопрос только в том, насколько толстый.

>Куки могут быть отключены у пользователя.

Может я ошибаюсь, но если это требование обязательно то обсуждать больше нечего. Ты не сможешь идентифицировать юзера. С одной машины могут одновременно работать несколько юзеров (теоретически), все во второй приход будут иметь общий мак адрес, IP, как ты их различишь? Ведь имени, под которым они залогинились ты в запросе уже не получишь. Может броузер пишет в запрос какой-нибудь идентификатор, но я об этом ничего не знаю. Чтоб их различить нужно положить в куки что-то уникальное для юзера: userName или sessionID, и потом в следующий приход юзера вытащить это из кук. Я не знаю другого способа.

sessionID хорош тем, что можно на одного юзера завести несколько сессий. Если в куки класть userName, то туда надо класть и пароль, что не есть хорошо.

Основное отличие WWW приложений от клиент-сервера по-моему состоит в том, что нет постоянных сессий. Пользователь приходит с запросом и ты его должен узнать.

>Вот, но ведь никто не мешает людям просто открыть браузер и в строке "Адрес" ручками написать это строку. Но, в принципе, наверное, если перед возвращением пользователю результата сделать проверку, то, должно быть все ОК?

Для этого в куки кладется sessionID, присваемый системой при логоне. Если он неправильный страница не формируется. При желании sessionID можно менять случайным образом при каждом приходе юзера.

>А что это такое?

Это когда между пользователем и БД стоит один или несколько слоев. Один там будет всегда: это веб сервер, на котором будут работать CGI или какие-то еще скрипты. В дополнение может быть application server, туда можно положить всю логику, а в базе только хранить данные, некоторые так и делают, тогда можно обойтись без скриптов на веб сервере. Это называется толстый средний слой. С точки зрения базы это толстый клиент. Еще пример такой архитектуры это bugzilla, можно скачать и посмотреть. Там нет application server, все сделано CGI и перловыми скриптами, но это не важно, важно что база логикой не занимается. Если логикой занимается база, а средний слой только парсит HTTP запросы и тупо формирует страницы по данным из базы, то это тонкий средний слой.

В принципе для небольшого сайта можно обойтись без базы, но по-моему это несерьезно.

Вообще на этот счет должна быть литература, там тебе на счет всяких архитектур объяснят лучше.