Есть такая идея (чтобы не использовать cookies):

- пользователь вводит в форму свой логин и пароль
- в таблице 'sessions' создаётся новая запись
'ip' - (ip юзера), 'login' - (его логин), 'time' - (время последнего коннекта)
- далее у юзера проверяется ip...
- если со времени последнего коннекта прошло >30 мин, то запись удаляется, и пользователь считается неавторизованным ("гостем"); чтобы "войти" в систему нужно заново ввести пароль.

Насколько это хорошее решение и что нужно изменить?
Какие возможности "обмана" этой системы?

авторСессии, имхо, лучше.

Сессии я пробовал сделал, т.е. каждому выдаётся случайный ключ (типа "Aj8YtREql.."), а потом этот ключ таскается по URL строке.

Проблема вот в чём: допустим, юзер открыл мой сайт в 2-х окнах (в разных разделах), потом в одном из них ввёл пароль. Теперь на в одном окне он авторизован, а в другом - нет. Если он в "неавторизованном" окне нажмёт "Обновить", то ничего не изменится т.к. в строке URL этого окна ключа нет.

Или ёщё вариант: юзер авторизовался на сайте, поработал с ним 10 минут, затем браузер закрылся (случайно крестик нажал или глюк ОС). Теперь бедному юзеру придётся искать бумажку с паролем и заново его вводить.

авторНо вообще система защиты не представляется хорошей.
авторНа таком сайте весь мой офис будет гулять под одним логином :)
авторЕсть люди у которых динамические IP, постоянно скачущие тудю-сюда

А чего тогда делать?..

авторИспользуй куки

Это понятно... но смысл в том,

автор(чтобы не использовать cookies):

(см. самую первую строку самого первого поста)

Есть много людей, которые куки отключают, есть такая штука как firewall, в через который часто куки не проходят... Т.е. желательно сделать универсально, без кук.