Che genere di sistema di autenticazione usi? Ovvero, quando sei connesso, viene creata una sessione, un record sul database, un cookie o cosa?

Per quanto riguarda il riconoscimento tramite ip non mi sembra una grande idea, se più client avessero lo stesso ip che succede?