Чому ми не можемо використовувати IP-адресу замість файлів cookie для ідентифікації клієнта в сервлетах?

Я знаю, що у нас є деякі додаткові переваги у використанні файлів cookie над IP-адресою, але моє запитання: Чому контейнер не може просто запам'ятати IP-адресу клієнта, коли він ідентифікує клієнта, коли він знову відвідує його сайт? Чи можливо контейнер запам'ятати клієнта за допомогою IP-адреси?

Клієнт визначається файлом cookie, а також IP-адресою. Однак IP-адресу не можна використовувати виключно:

• Що робити, якщо два клієнта розташовані за одним брандмауером або проксі-сервером? Вони будуть мати однакову зовнішню IP-адресу сервера.
• Що робити, якщо користувач має два різні браузери, відкриті на одній машині, і хоче два окремих сеанси (можливо, для тестування?)
• Користувач може мати динамічну IP-адресу, яка, можливо, може змінитися під час сеансу.
• Зловмисник може мати можливість підробити IP-адресу та взяти на себе сеанс, якщо він покладається лише на IP-адресу.

Це означає, що IP-адреса не однозначно ідентифікує клієнта у всіх випадках.

Іноді ви можете використовувати IP-адресу.

Якщо ви користуєтесь локальною мережею або іншим чином маєте справу виключно з користувачами, у яких статично розподілено IP-адресу для одиноких клієнтів, використання цієї адреси є ідеальною - іноді кращою та необхідною.

Але, як правило, не можна.

Якщо ви користуєтесь загальнодоступним сайтом, більшість IP-адрес, які потрапляють на ваш сервер, не є статичними або виділеними. Більшість із них представляють декілька клієнтів: ваш робочий стіл, ноутбук та мобільний телефон виходять через ту саму IP-адресу, коли ви перебуваєте в домашній мережі. І цей IP може змінитися - навіть на середині сесії.

Ще три причини додати:

1. Існують багатокористувацькі робочі станції та термінальні сервери. Багато користувачів можуть запускати повністю незалежні процеси браузера в окремі сеанси.
2. IP-адреси не зберігаються. Він може бути перепризначений, коли закінчується термін оренди DHCP.
3. Додаток повинен підтримувати роумінг. Наприклад, користувач на телефоні може вийти з діапазону WiFi і передати його на 3G-з'єднання. IP-адреса змінилася б, але було б добре дозволити веб-додатку продовжувати працювати.

Використання IP-адреси як ідентифікатора, як правило, не рекомендується, оскільки це не те, для чого призначена IP-адреса - функціонально це звичайна адреса для маршрутизації від a до b, і вона нічого не говорить про те, що знаходиться перед a або після b.

Наприклад, одна і та сама IP-адреса може бути спільною для декількох вбудованих пристроїв, найбільш поширені випадки

а) постачальник динамічно призначає своїм клієнтам пул адрес, що є звичайним явищем, оскільки купуючи однакову кількість публічних адрес, ви можете обслуговувати більше клієнтів (вам потрібно лише достатньо адрес для одночасних користувачів, а не загальної кількості користувачів)

b) приватна мережа, що здійснює доступ до Інтернету з однієї адреси, внутрішньо перенаправляючи пакети на сотні чи тисячі, якщо машини

Крім того, що два комп'ютери можуть стояти за NAT і мати однакову IP-адресу, ваша концепція клієнта повинна бути правильною.

Клієнт дуже НЕ комп'ютер, з яким ви спілкуєтесь, а браузер, який працює на цьому комп’ютері.

Ваш браузер не надто дбає про те, яку ip-адресу має ваш комп’ютер, чи ваша операційна система. І тому ви не можете покластися на ip-адреси. Браузер дбає про файли cookie, і вони перебувають під контролем браузера. Ось чому ви використовуєте файли cookie для сеансів.