預防失效的身份認證與會話管理漏洞措施有哪些

預防失效的身份認證與會話管理漏洞措施有以下這些：

• 始終生成新的會話。如用戶登錄成功生成新ID，登錄失敗后嘗試再次登錄時原有的ID失效，重新給與一個新ID，防止ID重用，

• 不應使用簡單或可預期的密碼恢復問題，登錄出錯時不應提供太多的提示，應使用統一的出錯提示。

• 登錄驗證成功后更換Session ID，并且最好使用128位以上具備隨機性的Session ID，不應在URL中顯示Session ID。

• 第一次登錄時強制修改密碼，對多次登錄失敗的賬號進行短時鎖定，設置會話閑置超時，超時后強制刷新頁面否則無法登陸。

• 提供用戶注銷退出功能，用戶關閉瀏覽器或者注銷時，刪除用戶Session；

• 保護Cookie，如在應用程序中為Cookie設置安全屬性為Secure flag和HttpOnly flag。

• 強制使用一定復雜度的密碼且加密存儲，登錄驗證使用用戶名、密碼、后臺驗證碼三者結合，驗證碼具有時效性，登錄失敗后的提示信息模糊化，不得提示具體是用戶名錯誤還是密碼錯誤。

• 登錄后的接口均需要攜帶認證后的token方可正確訪問，token具有時效性，超時將會失效，時效時長設置合理。

• 不需要認證的接口，也需要采用公司內部制定的token生成方法，前端工程師調用接口時攜帶，且前端代碼必須被混淆。

回答所涉及的環境：聯想天逸510S、Windows 10。