问保护用于输入多因素令牌的辅助登录页。

EN

使用会话琦琦跟踪整个身份验证过程中的用户，就像在身份验证之后一样。

确保您的cookie的长度和复杂性足以抵挡暴力和欺骗攻击。使用安全和httponly属性来防止坏人捕获和使用它。

首先通过验证使用一个cookie，然后在第二步之后使用更新会话id，这是一个权限更改。

这是问题已经解决的问题之一，并且存在最佳实践来规定您应该做什么--只需阅读、理解和遵循OWASP会话管理备忘单即可。

你应该有会话曲奇。大多数web框架都对此提供了有用的支持。

但从安全的角度来看，有一个重要的问题。

使用会话cookie(用于区分使用站点的浏览器)和登录凭据(以区分站点的用户)实际上使系统的身份验证功能加倍。因此，基于两者之间意想不到的相互作用，出现了一种新的攻击可能性。

最常见的两种攻击类型可能是：

1. 如果用户签出，然后再次登录，您将拥有相同的会话id，但使用的是不同的用户。例如，以版主用户的身份注销，然后登录到普通用户中，可以让第二个用户使用上一次登录的版主权限。
2. Cookie将几乎和密码一样重要--但它们甚至没有那么严格地受到保护。偷来的曲奇可以有效地“盗取”它所属的帐户。

因此，

1. 使用https。
2. 使用快速cookie超时。
3. 注销后，删除会话cookie的有效性。
4. 尽量使用尽可能少的会话绑定变量。

我将在这两个步骤之间使用一个非特权会话令牌，这只能证明这个用户已经完成了您的多阶段身份验证过程的第一部分，但这使他没有经过身份验证(非特权)。

然后，在完成第二阶段之后，重新生成一个会话令牌，并将用户的权限提升到“身份验证”(或任何适合您的访问控制矩阵的权限)。

只有当您有令牌证明第一阶段已经完成时，才允许访问第二阶段。否则，将用户重定向到第一阶段。

您可以查看OWASP身份验证备忘表，以获得一些好的指导原则：https://www.owasp.org/index.php/Authentication_作弊_板材