サーブレットでクライアントを識別する際に、Cookieの代わりにIPアドレスを使用できないのはなぜですか？

IPアドレスを介してCookieを使用することでいくつかの追加の利点があることはわかっていますが、私の質問は、クライアントがサイトに再度アクセスしたときにクライアントを識別する際にクライアントのIPアドレスを記憶できないのはなぜですか？コンテナがIPアドレスを使用してクライアントを記憶することは可能ですか？

クライアントは、CookieとIPアドレスによって識別されます。ただし、IPアドレスを排他的に使用することはできません。

• 2つのクライアントが同じNATファイアウォールまたはプロキシの背後にある場合はどうなりますか？サーバーへの外部IPアドレスは同じです。
• ユーザーが同じマシンで2つの異なるブラウザを開いており、2つの個別のセッションが必要な場合はどうでしょう（テスト用ですか？）
• ユーザーは、セッション中に変更される可能性のある動的IPアドレスを持っている場合があります。
• 攻撃者は、IPアドレスのみに依存している場合、IPアドレスをスプーフィングしてセッションを引き継ぐことができます。

これは、IPアドレスがすべての場合にクライアントを一意に識別するわけではないことを意味します。

IPアドレスを使用できる場合があります。

LANを使用している場合、またはIPを単一のクライアントに静的に配布しているユーザーのみを扱う場合は、そのアドレスを使用することで問題ありません。

しかし、通常はできません。

パブリックサイトを実行している場合、サーバーにヒットするIPアドレスのほとんどは静的または専用ではありません。それらのほとんどは複数のクライアントを表します。デスクトップ、ラップトップ、および携帯電話はすべて、ホームネットワークにいるときに同じIPアドレスで送信されます。そして、そのIPは変更される可能性があります-セッション中もです。

追加する3つの理由：

1. マルチユーザーワークステーションとターミナルサーバーが存在します。多くのユーザーは、完全に独立したブラウザープロセスを別々のセッションで実行できます。
2. IPアドレスは永続的ではありません。DHCPリースの期限が切れると、再割り当てできます。
3. アプリケーションはローミングをサポートする必要があります。たとえば、携帯電話のユーザーがWiFiの範囲から外れ、3G接続に引き継がれる場合があります。IPアドレスは変更されますが、Webアプリケーションが機能し続けると便利です。

識別子としてIPアドレスを使用することは、IPアドレスの目的ではないため、一般的に推奨されません。機能的には、aからbへのルーティング用のプレーンアドレスであり、bの前後に何も通知されません。

たとえば、同じIPアドレスが多数のナット付きデバイスで共有される場合がありますが、最も一般的なケースは

a）アドレスプールを顧客に動的に割り当てるプロバイダー。これは、より多くの顧客にサービスを提供できる同じ量のパブリックアドレスを購入することとして非常に一般的です（合計ユーザーではなく、同時ユーザーに十分なアドレスが必要です）

b）単一のアドレスからWebにアクセスするプライベートネットワーク。マシンの場合、内部的にパケットを数百または数千にリダイレクトします。

それとは別に、2台のコンピューターがNATの背後にあり、同じIPアドレスを持つことができるので、クライアントの概念を正しくする必要があります。

クライアントは、通信しているコンピューターではなく、そのコンピューターで実行されているブラウザーです。

お使いのブラウザは、お使いのコンピューターがどのIPアドレスを持っているかについてはあまり気にしません。オペレーティングシステムはそうです。そして、それがあなたがIPアドレスに頼れない理由です。ブラウザはクッキーを気にし、それらはブラウザの制御下にあります。そのため、セッションにCookieを使用します。