session防护 检查来源IP,User-Agent 敏感功能(支付,取款),再加一层密码 Cookie设置参数(domain,path,expire,HttpOnly,secure) 使用第三方生产session类 替代方案使用JWT(JsonWebToken)