单点登陆控制的问题

这个问题太经典了,但我一直找不到详细的文章来将各种方案的利弊描述一通并且给出最合适/最好的方案

我目前遇到以下问题:
IP更换后就不能访问,特别是移动端老是更换IP

为防止cookie被盗,所以登陆标识增加了ip,以便ip更换后就能校验不正确,但这时候移动端的项目开工后,手机好像老是会换IP,天天不同的IP,连不同的WIFI也有不同的IP,我记不住他的登陆,那是不是叫我移动端放弃IP元素,换成UserAgent?
UserAgent用了一段时间感觉不好用,特别是OAuth验证登陆的时候,具体不多说了,那如果在移动端不用IP又不用UserAgent还能怎么办呢?大家怎么解决的呢

最后声明:不是客户端,是WEB