认证是指任何识别用户身份的过程,授权是允许特定用户访问特定区域或信息的过程。认证与授权一直是安全攻击的重点,OWASP前十名的攻击中,不安全的身份会话管理和访问控制一直在列。2017年,失效的身份认证和会话管理排在安全攻击第二位。
