Yo esa parte la veo bien. No veo que vaya a devolver distinto. Imagina, si el agent es por ejemplo "Mozilla" (si, es mas largo, me da pereza!) y lo hasheas junto con abcde y lo guarda en sesisón. Luego comparar esa sesión con el navegar de nuevo, para evitar eso....

Yo hago algo parecido en mi login.

Concateno el user, el pass (en md5), la ip y lo guardo como "login". Si en algún momento cambia, te desloguea automáticamente :)