如果你想实施安全措施，你需要知道你保护自己的安全措施。在这种情况下，您希望保护自己免受中间人攻击。

正如您自己所说，IP 地址的更改并不是一个好的指标，实际上有两个原因：

• IP 地址会因正当原因而更改的原因有很多，例如用户获得或失去 Wi-Fi 连接、用户连接到 VPN 等。因此，仅此一项就不是攻击的一个非常糟糕的指标。
• 为了使检测工作，它假设用户首先自己启动会话，然后被中间人拦截。如果您的用户已经被拦截，那么中间人的 IP 是您将看到的唯一 IP。

因此，这种安全措施很容易出现误报和误报，使其相当不可靠。

但是谷歌采用了一种类似的安全措施。它检测用户的通常行为模式，例如他们连接的通常位置和 IP 地址范围。如果登录偏离此模式，则会触发安全警报。

当用户想要在假期或类似情况下查看他们的电子邮件时，这一点最为突出，但如果明确建立了用户的常规使用模式，则可以真正成为可能妥协的指标。

这应该是一个示例，说明如何使用来自 IP 地址（和其他来源）的信息来分析行为，从而检测异常。异常检测是一个独立的领域，因此不要期望在一个段落中进行全面介绍。此示例应仅用于说明目的。

唯一考虑的就是风险之一。

实施控制（如本控制）以降低风险。您试图减轻哪些风险？你说它可能会减轻 MitM。行。这是您的网络服务的责任吗？服务这样做有意义吗？

然后让我们考虑实际情况。如果攻击发生在用户已经登录之后，您的控制会减轻 MitM 。这是非常具体且非常有限的威胁。让我们继续运行该场景。攻击发生，服务将用户注销，然后用户重新登录。但攻击仍在发生。所以，现在攻击者捕获了登录过程和密码。你达到控制的目标了吗？您可能拥有的其他控制措施可能会减轻其中一些事情的影响。

还要考虑可用性差的风险。如果您安装的控件使用户难以使用您的系统，那么您将面临失去用户的风险。

什么是对您来说最好的决定取决于您以及您不能在问答网站上的问题中包含的所有因素。

风险评估非常简单。你只需要慢慢地将点点滴滴连接起来，抵制住跳到最后的诱惑。

硬不。

除了安全考虑（这种做法并没有真正帮助）之外，将会话限制在 IP 地址会完全破坏某些 ISP 用户的访问权限，尤其是移动用户，他们经常循环使用 IP 地址。IPv6 甚至具有为保护隐私而有意执行此操作的功能。除非您非常了解您的用户群并且知道他们都不会受到此类问题的影响，否则它完全不是初学者。

大约 20 年前，这曾经是 PHP 会话的问题。很可能还有其他一切，因为它们使用了类似/相同的机制，但我记得 PHP 的缓解功能。您只需在配置中启用它。

问题：您登录并获得一个会话 cookie（甚至可能嵌入在 URL 中），理论上其他人可以窃听该信息并从此代表您发出请求。

现在，当然，没有人再使用 HTTP，而 HTTPS 解决了这个问题。您不再代表其他人简单地发送请求（除非您安装了假证书或破坏了网络堆栈等）。

此外，一些最近正在开发的高调协议（想想 QUIC）明确地将连接与地址分开，并有可能合法地改变 IP 地址。显然，如果涉及安全风险，它并没有严重到会打扰 Google 或 IETF 的任何人。

所以......简而言之......不用担心。