Question

会话认证是一个非常大的话题，涉及各种认证协议和框架，如 cookie、session、sso、oauth、openid 等，出现问题比较多的在 cookie 上面，cookie 是 Web 服务器返回给客户端的一段常用来标识用户身份或者认证情况的字符串，保存在客户端，浏览器下次请求时会自动带上这个标识，由于这个标识字符串可以被用户修改，所以存在安全风险，一般这块的认证安全问题都出在服务端直接取用 cookie 的数据而没有校验，其次是 cookie 加密数据存在可预测的情况。另外是 session 是保存在服务器端的信息，如果没有代码操作，客户端不能直接修改 session，相对比较安全。

sso、oauth、openid 与 cookie、session 相比不是一个维度的东西，由于这块在应用代码审计没有什么合适的案例，暂时先不介绍。