Auch ich würde das über eine Session-ID machen. popcorn5 macht da einen sehr praxisnahen Vorschlag. Eine SID enthält selbst keinerlei Informationen über den Session-Kontext (Laufzeit, Username o.ä.), sondern ist nur ein Schlüssel einer Datenbank auf dem Server. Der Server nutzt also die SID, um an die Kontext-Infos in seiner DB zu kommen. Damit ändert sich an der SID auch nichts, wenn sich an den Kontext-Infos was ändert. Und um geknackte Verschlüsselung musst du dir dann keine Sorgen machen. Du musst ggf. lediglich sicherstellen, dass keiner eine gültige SID kapert, zum Beispiel durch Verknüpfung mit der Client-Adresse und SSL-Verschlüsselung.