Управление сеансами на основе файлов cookie - это путь. Вы не можете просто использовать IP-адрес, даже комбинацию IP-адрес + браузер, потому что это не удастся, если люди используют прокси или находятся за NAT.
Просто отправьте браузеру хеш-код в файле cookie, а затем проверьте его для вашей записи для пользователя, если он совпадает, вы можете получить доступ к данным для сеанса этого пользователя.
Рассмотрите возможность добавления механизма истечения для хеша. Существует компромисс между безопасностью и простотой использования, потому что чем дольше тот же хеш действителен для пользователя, тем дольше пользователь уязвим к атаке кражи файлов cookie.
Механизмы истечения срока действия также позволят вам удалить устаревшие данные сеанса из вашей базы данных (или файла, если вы того пожелаете).