Ein ganz gutes verfahren um einen Benutzer hinreichend eindeutig zu identifizieren, ist sein (Login)Name, sein IP und der Timestamp des Zugiffes, zusammen mit einem Schlüssel (der einzigartig für jedes System sein sollte), mit einem Schlüssel, den jedes System kennt zu verschlüsseln und als Sessionkey zu verwenden. Da relativ einzigartige und für den Benutzer spezifische Werte benutzt wurden, ist auch der Sessionkey einzigartig, und enthält zudem alle nötigen Daten, um den Benutzer zu identifizieren, und die Gültigkeit der ID zu bestimmen.

Um die Gültigkeitsdauer des Key zu bestimmen muss der Timestamp im Key in regelmäßigen Abständen (z.B nach jedem Zugriff) aktualisiert werden. Dadurch ändert sich natürlich der Sessionkey, was aber nicht schlimm ist, da er alle Daten enthält um einen Benutzer zu identifizieren. Das schwächt zwar auch die Verschlüsselung, aber nicht so sehr dass man sich für einen Sessionkey sorgen machen bräuchte. Um das wieder aus zu gleichen könnte man ein wenig Zufallsdaten einstreuen.

Was die Verschlüsselung betrifft so gibt es ein paar weit verbreitete Bibiotheken. Um portabel zu bleiben würde sich wohl eine Bibliothek wie "GCrypt" gut eigenen, da sie gut getestet ist und für viele Systeme/Programmiersprachen zur Verfügung steht.