с айпи прдумывал таой алгоритм :
регим юзера - пишем в базу регистрационный ип
при попытке доступа в защищенную зону сверяем ип с базой, и если совпадают - то пускаем, если нет - выкидываем на процедуру авторизации и в ней прописываем новый ип.
В принципе и это прокатит, так как доступ автоматический с частотой максимум раз в 7 - 10 минут минимум раз в 2-5 минут, а процедура авторизации ручная, если юзер согласен каждые пять минут переавторизоватся - флаг в руки, данные ему нужны круглые сутки и вовремя, а так и будет если он поделится с кем нибудь своими данными.
Просто кажется мне это все как то кривовато, может есть более красивые мысли?

xrust, не совсем понял, есть некая папка на уд. сервере, с кот. надо сливать время от времени файлы на локал, вопрос: в эту папку могут захоть ВСЕ, но под разными ник/пароль, или, в эту папку может войти только ОДИН кто-то под своими ник/пароль? Если последнее, можно генерить в хттп запросе в качестве ника текущие день/месяц/год, а на серваке сверять, к примеру. И ни кук не надо, ни сессий...

есть папка - есть база клиентов каждый зарегистрированный пользователь , может и должен получить доступ в папку.
Я хочу избежать ситуации когда кто то из юзеров захочет поделиться своим логином - паролем с ближним, и будут одновременно, или с небольшим разбегом по времени качать инфу из разных мест...
Ситуация в принципе такая - один логин - пароль - ИП = доступ...

Geo ip
Может сделать привязку к провайдеру и городу?
Но это не даст плюсов при "коллегах в одном офисе".
ps но не факт, что у другого другой город и другой провайдер...

Может будут у кого другие мысли кроме как по ИП?

ну а че, я всем на работе на уч. записи пользователей поставил блокировку раб.станции при простое в 5 мин., казалось бы отвернешься документик какой-нить глянуть/чайку заварить - все, вводи снова логин/пароль. Плачутся, говорят, очень раздражает. Ну да ладно, это я, собственно, к чему, тут главное не переборщить с частотой авторизации.

Ну а если по делу, то как вариант запускать всех на сервак ч-з проксик, авторизировавшись однажды, который раздаст фиксированные ip`шки, ну а на сервере скриптом уже фильтровать кому куда, к примеру, все что относится к стандартной подсети (как правило, ее редко кто меняет) - отсекать.

Очевидно, процедура авторизации должна включать в себя авторизацию пользователя и авторизацию места.

Если IP места динамический - мы не можем точно идентифицировать место со стороны сервера. Мы должны делать авторизацию со стороны клиента - там идентификатором может служить еще MAC-адрес сетевого оборудования.

как известно, MAC'и можно подставить софтом.

на сколько я понял, в определенную область сервака может войти только авторизированный пользователь, при чем несколько соединений на логин не разрешено?

по ip не выйдет, так как есть юзверя, которые сидят за nat'ом, и у нескольких юзверей будет один и тот же ip.

как вариант, писать при входе в лог и базу логин, время логина, ip, и определенный уникальный id сессии авторизации, допустим тот же session_id. при входе чела на сервак проверять нету ли его уже в таблице залогинившихся, если есть, то проверить айдишник сессии. если не совпадают - adjos pendejo, если же совпадают - добро пожаловать.

было бы неплохо еще отслеживать есть ли еще соединение для юзера и его ипа, если нет - убивать из базы запись.

или установить, что сессия работы длиться не больше минут 15. в начале страницы проинклудить файл с кодом, который будет чистить таблицу с авторизированным юзерами от записей, старее 15 минут.

откуда его брать? в tcp его нет

Говоря о клиентской авторизации, я как раз имел в виду программу которая общается с сервером вместо браузера. Соответственно она может получать ко всем драйверам и настройкам клиента.