L'adresse IP peut changer dans le cas des clients mobiles ou des clients qui basculent entre les réseaux câblés et sans fil. Votre meilleur pari serait probablement de fournir un UID généré de manière aléatoire à chaque client lors de sa première connexion (s'il n'a pas déjà le cookie). Ensuite, vous pouvez vérifier que le même nom d'utilisateur ne se connecte pas en utilisant deux UID différents.
L'astuce est que vous devez vous assurer de temporiser cet UID, de sorte que si l'utilisateur va sur un autre ordinateur, il ne sera pas verrouillé. Peut-être qu'un seul changement à l'UID est acceptable, mais ils ne peuvent pas revenir à un UID qui a déjà été utilisé ?