本章中,你了解了大量基于服务器端ACL和授权/会话令牌(现成的或者定制开发的)的典型Web应用授权模型,这些模型都容易遭到各种常见攻击。蹩脚的ACL和令牌很容易使用常见的技术挫败,这些技术包括绕过、重放、欺骗、修复,或者反过来操纵授权控制以假冒其他用户(包括管理员)。我们还描述了多个案例研究,阐述了这些技术如何组合起来在多个级别上破坏Web应用授权。最后,我们讨论了Web管理员和开发人员可以用来对抗本章描述的基本攻击技术的工具集,以及更广泛的能够帮助加固典型Web应用整体安全态势的“纵深防御”策略。