关于聊天服用户登陆验证的问题

我们在用类QQ聊天软件时，首先输入QQ账号和密码进行登陆，服务器接受信息，确认账号正确后，是如何维持该客户端的通讯权限的?

我想到有两种方式：
1、登陆后，发送信息时，连同账号密码串密文一起加入信息串里，服务端接收后验证，这样每次都需要服务端验证账号，费时费力，也容易被截取并伪造信息；

2、登陆后，服务端产成唯一密key，保留该密key以及对应的用户ip和端口，然后返回密key给客户端，客户端发送信息时，连同密key一起发送，服务器只需验证该密key和ip以及端口是否相同；



欢迎高手拍砖，分享更好方法!!!!

用类似于session的东西吧