失效的身份认证和会话管理
认证和授权
认证的目的:认出用户是谁。
授权的目的:决定用户能够做什么。
认证分类:
- 单因素认证(例如只需输入口令)
- 双因素认证(例如同时需要口令和Ukey证书)
- 多因素认证(例如不仅需要口令和Ukey证书,还可能需要身份证或者健康证等)
认证手段:
- 密码(成本最低,但存在弱口令问题)
- 动态口令
- 手机验证
- 数字证书
- 单点登录(openid,如登录支付宝,不仅可以访问支付宝,还可以访问淘宝和京东等)
会话管理
认证成功后,认证凭证的管理方式。
会话管理方式:
- cookie based方式
- 服务器端session方式