La autenticación se utiliza para determinar si un usuario tiene permisos para acceder a una aplicación. A menos que una aplicación sea pública y no se requiera autenticación, los usuarios finales deben especificar un nombre de usuario y una contraseña para obtener acceso. Oracle Application Express proporciona varios esquemas de autenticación incorporados, incluidos:

• Usuarios Gestionados de Oracle Application Express
• Single Sign-On
• Credenciales de Cuenta de Base de Datos
• Esquemas personalizados

Los esquemas de autorización se utilizan en Application Express para controlar la representación y procesamiento de los componentes según los privilegios del usuario. Puede aplicar la autorización a toda la aplicación o de forma selectiva a las páginas o componentes de página, como separadores, regiones, botones, elementos, validaciones, procesos, etc. Los esquemas de autorización fallan o se aplican correctamente. El usuario puede ver o utilizar el componente sólo si el esquema de autorización asociado se aplica correctamente.

Los administradores del espacio de trabajo pueden crear cuentas de usuario nuevas de Application Express, gestionar las existentes y cambiar las contraseñas de usuario. Las cuentas de usuario de Application Express pueden ser de administradores del espacio de trabajo, desarrolladores del espacio de trabajo o de usuarios finales. Los privilegios de desarrollo se definen utilizando las cuentas de usuario de Oracle Application Express, sin embargo, las aplicaciones de Oracle Application Express se pueden ejecutar utilizando métodos de autenticación externos. Las cuentas de usuario de Oracle Application Express se pueden bloquear y soportan, entre otras reglas, la de caducidad y la de complejidad de contraseñas.

Los administradores de instancia pueden definir la longitud de la sesión y el tiempo de inactividad máximos para los desarrolladores de Application Express. De forma similar, los desarrolladores pueden definir la longitud de la sesión y el tiempo de inactividad máximos para cada aplicación que modera el acceso de los usuarios finales.

Para las instancias de prueba y producción, Oracle Application Express soporta la capacidad de instalar sólo una versión de tiempo de ejecución. Minimiza la huella instalada y los privilegios. También mejora la consistencia de la aplicación, porque en una instancia de tiempo de ejecución los desarrolladores no pueden actualizar el origen de la aplicación de forma inadvertida.

También denominado XSS, es una brecha de seguridad que saca partido de las páginas web generadas de forma dinámica. En un ataque de XSS, se envía un script a la aplicación web que se activa cuando lo lee el explorador de un usuario. Una vez activados, estos scripts pueden sustraer datos, incluso credenciales de sesión y enviar la información al atacante. Si se ha introducido un código malicioso en una aplicación de Oracle Application Express, se puede representar en regiones HTML y otras ubicaciones de la aplicación durante la representación normal de la página. Para obtener más información sobre las vulnerabilidades potenciales y las prácticas de codificación seguras para minimizar dichos riesgos, consulte la ayuda en línea.

La inyección SQL permite a una aplicación entrar en el flujo de una sentencia SQL y, por lo tanto, modificarla. Un método muy eficaz para garantizar que las sentencias SQL están protegidas de inyecciones SQL es utilizar variables de enlace. Oracle Application Express soporta el uso de variables de enlace en todas las sentencias SQL y PL/SQL. Para crear una aplicación segura, todo el SQL dinámico necesita garantizar que no se puede inyectar ninguna entrada de usuario final en la sentencia SQL.

La protección del estado de la sesión es una funcionalidad incorporada que evita que los piratas informáticos alteren las URL de su aplicación. La alteración de la URL puede tener efectos adversos sobre la lógica del programa, los contenidos del estado de sesión y la privacidad de la información. La activación de la protección del estado de la sesión es un proceso de dos pasos. Primero, se activa la función. A continuación, se define la página y los atributos de seguridad del elemento.