随着网络技术的快速发展,Web应用由于其使用方便已成为网上应用的主流。而身份认证是Web应用的第一条防线,其安全程度直接影响Web应用程序的健壮程度。目前的很多黑客攻击手段,如钓鱼攻击、SQL注入攻击等各种网络攻击方式都是由身份认证开始的。因此,身份认证安全研究必将会成为网络安全技术研究的新重点。本文从目前流行的针对Web应用的身份认证的多种漏洞攻击出发,提出了程序级和应用级两层解决方案。程序级解决方案主要面向系统的开发人员,主要采用数据过滤、输出处理、Session管理、缓存清除等技术,这些技术方案均采用跨平台的JAVA作为编程语言,具有一定的普遍性;应用级解决方案提出了目前一些比较常用的、安全的认证机制,如:数字证书、一次性口令、双因子认证、生物识别技术等。其中重点介绍了“一次性口令”+“数字证书”的双因子认证机制。本文程序级解决措施经过实验证明,具有一定的可行性、实用性,并且其实现方式简单、有效,可以从根本上杜绝针对这些漏洞的认证攻击。此外本文提出的“一次性口令”+“数字证书”的双因子认证机制值得安全系数较高的Web应用程序借鉴。