如何防止失效的身份认证和会活管理
    开发人员自定义的方案存在的漏洞例子:用户更改口令之前不验证用户，而是依靠会话的IP地址；没有会话超时限制，提高了暴力破解的概率，或者用户使用公共计算机浏览网站，而离开时没有退出选择直接关闭浏览器，使得下一个用户使用相同的浏览器可以看到上一个用户的对话；用户自己忘记口令后，口令找回功能过于简单"记住我"这样的指令，会造成不是真正的用户在登录网站认证时，直接使用了系统记住的用户账号和口令登录。
对于失效的身份认证和会话管理的防范，我们可以从以下方面来着手:
    ·一套单一的强大的认证和会话管理控制系统。这套控制系统应:满足OWASP 的应用程序安全验证标准(ASVS) 中认证和会活管理中制定的所有认证和会话管理要求。并且具有简单的开发界面。
    ·区分公共区域和受限区域。公共区域可以允许任何用户进行医名访问，受限区域只能接受特定经过身份验证用户的访问。这就像是用户可以在网页上随意的浏览，但是想要购买就要登录自己的用户账号一样。公共区域和受限区域被用来区分站点，不同的身份验证和授权规则就可以在不用的区域使用，从而限制SSL 的使用。
    ·锁定账户和禁用账户策略。锁定账户:当账户登录多次都失败后，可以在一段时间内禁用该账户或是将该事件写入日志。当系统受到攻击时，可以使凭证失效或是禁用账户，这样可以避免遭到进一步的攻击。
    ·保护身份验证Cookie。Cookie 中的身份验证被窃取就意味着登录被窃取，因此可以通过加密和安全的通信通道来保护验证Cookie 。
    ·口令、会话时限。口令的不变性会增加攻击者破解的破解率，因此定期的改变口令可以很好的保护账号的安全。缩短会话寿命可以降低会话劫持和重复攻击的风险，会话寿命越短，攻击者在会话期间能够捕捉到Cookie 并用它访问程序的时间越有限。
    还有很多的方法我们可以用来保护身份认证，比如使用强口令作为账户的口令，不使用一个口令来管理多个账户，不在网络上以纯文本的方式发送口令等等，都是用户可以做的。