Вы можете разобраться во всевозможных хитростях на стороне клиента, которые, возможно, будут работать в некоторых сочетаниях операционной системы и браузера. Но, в конце концов, все будет передано на сервер по старому доброму HTTP. Это все, что получит сервер (единственная сторона, на которой у вас есть полный контроль): куча текста. Невозможно определить, пришел ли запрос от вашего модного ActiveX или набран в командной строке telnet.
Конечно, - это способы аутентификации запросов. Это один из способов использования криптографии. Но, опять же, все, что вы когда-либо узнаете, это то, была ли подпись сгенерирована с соответствующим ключом. Вы не можете быть уверены в том, кто пользователь или какой компьютер он использует, все, что вы знаете, это то, что это кто-то получил копию ключа.
Теперь действительно сложно создать систему входа в систему, в которой нет своих пользователей. Насколько я знаю, даже системы на основе OpenID привязывают удаленных пользователей к локальным пользователям. Вы уверены, что это реквизит?