认证与会话管理

密码

  • 密码的强度导致的问题

多因素认证

Session

Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去

  • session id 泄漏
  • session fixation
    • 如果登录后session id不改变,则攻击者可以诱导用户登录某个攻击者的session id
  • session 保持攻击
    • 不断刷新,使session一直保持有效

访问控制

  • 基于URL
  • 基于方法
  • 基于数据

垂直权限管理

水平权限管理

  • 水平越权访问
    • 用户访问到不属于它的其他用户信息

Oauth

results matching " "

No results matching " "

results matching " "

No results matching " "