如何验证服务器端web服务的浏览器IP

用户A转到网页B。网页B呼叫Web服务C以获取有关用户A的某些信息。如果未确认请求来自用户A的IP,而不是窃取用户A会话的用户,则Web服务C不会向网页B提供所请求的信息。

我认为对于基于浏览器的解决方案,原始站点(网页B)可以打开一个iframe,该iframe指向Web服务的身份验证页面。将某种类型的密钥传递给浏览器,浏览器将说明如何指示用户的IP和网页B的IP,以便Web服务可以确认没有人捕获任何内容。

我有两个挑战,但我将首先坚持更直接的挑战:

我不确定我基于浏览器的计划是否真的有意义。如果有人窃取会话cookie,Web服务将如何知道?这个cookie会被保存在网页B上,因此更难被窃取吗?这是一个合理的假设,一个cookie或密钥只由服务器持有,而不是浏览器是安全的?

另外,基于iframe初始连接的web服务是否需要服务器/用户ip组合?我的意思是,通过iframe提供的会话密钥是否由web服务存储,并且web站点B显示它具有匹配项?或者会话密钥更通用,这意味着web服务由网站B传递密钥,web服务根据有效会话密钥的外观验证这是否是有效会话密钥?