Безопасная авторизация без айпи

здравствуйте
пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи)
авторизация:
есть несколько способов
способ 1:
юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию.
способ 2:
при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки.

теперь функция запомнить мои данные на этом компьютере.
тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход?
способ 3.
поставил и настроил https.
следующий вопрос, допустим я открыл страницу авторизации через https. вошел, потом редирект на обычную версию. если я запишу безопасную куку. то если произойдет редирект кука станет недоступна. как тогда организовать запоминание?
спасибо

0

по браузеру можно ведь

0