да нет, этот ключ скорее нужен для выполнения Выхода, из других браузеров.. тоесть он генерится и хранится в базе пользователя. и когда он меняется то все ранее работающие хеши теряют свою актуальность. Но при желании конечно же можно расширить функционал, дл того что вы описали.

Вот еще подход интересный - на id сессий (смотреть надо именно комментарий по якорю) http://habrahabr.ru/blogs/php/13726/#comment_262346

Ну как я уже говорил выше, ИП не всегда есть гуд. Да и автор не совсем прав, обертка md5(md5()) вполне эффективна если проект закрыт, и никто кроме разрабов не знает о том как генерится хеш. Тоесть по сути хакер не знающий алгоритма, не сможет брутфорсить то что он не знает. А использование одного md5() это бонально для большинства.

И да, сессия тоже хранится не вечно, все от настроек сервера зависит. Тут речь скорее идет о том как организовать параметр remember me? тоесть запомнить человека, и без базы тут не обойдешься... а временную сессию. понятно дело что нет смысла хранить вообще даже в куки.

для статистики