认证(你是谁):认定一个人的身份的过程
授权(你可以做什么):确定了一个人的身份之后,授予他什么权限
凭证(你靠什么来确定你的身份):靠这个才可以认定一个人的身份
单因素认证:只靠一个因素来确定你的身份,比如:密码
多因素认证:靠多个因素来确定你的身份,比如:密码+密保+邮箱+手机号
http是一个无状态的协议,服务器是靠sessionid来确定每一个人的身份,我们成功登录之后,服务器不会再叫我们输入密码,而是颁发给我们一个sessionid,靠这个sessionid来打开一个session,有时候服务器会自己保存sessionid,多数情况下会把sessionid发给浏览器,浏览器会把sessionid给加密保存到cookie中,浏览器每次访问的时候就会把cookie带上,这样服务器就能够分辨每一个用户。
session fixation攻击
就是利用sessionid放在url中发起的攻击,这种攻击方法有点愚蠢,所以不再多加分析
session会话保持攻击