コメントありがとうございます。 > 但し、UA や IP アドレスなども含めて評価するのが一般的です。 > HTTP はステートレスなので認証(承認)はリクエスト毎に行うのが間違いが少な > くていいんじゃないでしょうか。 これは、IP アドレスのような変化しうる情報に関しては、リクエストのIP アドレスと セッションに保持されたIP アドレスが一致しなければ、万が一を考えてセッションを破棄するような処理に しておくべきという意味合いですか?