认证授权

认证：你是谁，验证你的身份凭据，系统你知道你这个用户存在。

授权：发生在认证之后，访问系统的权限。

Spring Session：一般与redis使用，可以在不同的项目中共享session。支持一个域名，同一个项目部署多台tomcat，也支持一个域名多个项目，支持同一根域名多个子域名，不支持不同根域名实现session共享。

原理：实现了一个filter，继承自OncePerRequestFilter（确保一次请求只通过一次filter），并且@Order优先级被优先执行

CSRF：跨站请求伪造，攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求，利用受害者已经获取的注册凭证，绕过后台的用户验证，达到冒充用户被攻击的网站执行某项操作的目的。

​ 解决办法：同源策略，token（麻烦在某个请求都要验证）。

XSS：页面注入恶意代码。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。根据攻击的来源，XSS 攻击可分为存储型（例如保存评论里加入注入代码）、反射型（存在URL之类，被后端接收进而再到HTML解析）和 DOM 型（前端上拿到URL恶意代码进而执行）三种。

​ 解决办法：escapeHTML(keyword)转义，后端转义，仍然有风险，纯前端渲染，限制输入内容长度，HTTP-only禁止JS读取某些敏感cookie，验证码。

OAuth2.0：主要用来授权第三方应用获取有限的权限。实际上它就是一种授权机制，它的最终目的是为第三方应用颁发一个有时效性的令牌token，使得第三方应用能够通过该令牌获取相关的资源，也常用于第三方登录，当你的网站接入了第三方登录的时候一般就是使用的OAuth2.0协议。

SSO：单点登录，一个平台登录，可以自动登入其他关联平台。解决公司多平台访问。