用户访问

   大多数的的web应用程序采用三层相互关联的安全机制处理用户访问。

身份认证

一般采用用户名与密码进行身份认证，如果是较高的安全级别的应用程序可能会采用其他证书和多阶段登陆来强化身份认证，如果安全级别更高，可能会采用客户端证书，智能卡，质询响应令牌，使用其他身份验证模型。一般会包括注册，密码修改，账号恢复等功能。
会话管理

处理用户访问的下一逻辑阶段是管理通过身份认证的用户，通过身份认证之后，用户便可访问各种页面与功能，从浏览器提出各种http请求。与此同时，服务器从其他用户处接收数以万计的请求并处理，为实施有效的访问控制，需要应用程序识别每个用户发出的请求并处理。服务器一般会为每个客户端生成一个会话令牌，会话令牌储存在客户端本地，在客户端发起请求时浏览器在随后的http请求中将它返回给服务器用于身份认证。有隐藏表单，url查询字符串传送会话令牌，较为常用的是http cookie。在一段时间之后如果用户没有发起请求会话将会失效。cookie的生成的随机性将是最为重要的一环。

访问控制

处理用户访问的最后一个逻辑步骤是做出并实施正确的抉择，决定允许或拒绝用户的每一个请求。如果前面的机制运行正常，应用程序即可从收到的每一个请求确定用户的身份。在此基础上，应用程序需要决定是否授权用户执行所请求的操作或访问相关数据。访问控制机制一般需要实现某种精心设计的逻辑，并考虑各种相关的应用程序领域与不用类型的功能。应用程序可支持无数不同的用户角色，各种角色都拥有特定的权限，每名用户只允许访问应用程序中的部分数据。应用程序可能需要根据用户的身份，通过特殊功能实现交易限制与其他检查。由于典型的访问控制的要求相当复杂，因此这种机制中一般存在大量的安全漏洞，使攻击者能够未授权访问应用程序的数据与功能。开发者经常会对用户与应用程序的交互方式做出错误假设，并且常有忽略。