A API AccessibleObject permite que o programador contorne as verificações de controle de acesso fornecidas por especificadores de acesso Java. Em particular, ela possibilita que o programador permita que um objeto refletido contorne controles de acesso Java e, por sua vez, altere o valor de campos particulares ou invoque métodos privados, comportamentos que são normalmente proibidos.

Muitos aplicativos usam cookies para comunicar o identificador de sessão de um usuário. Quando o aplicativo é acessado por HTTPS, os cookies são protegidos (os invasores não conseguem detectá-los). Mas se os desenvolvedores permitirem acesso HTTP a partes não confidenciais do aplicativo, o identificador de sessão pode ser roubado. Quando um usuário navega para uma parte desprotegida do site, o cookie, contendo o ID da sessão, é enviado sem proteção. Se os invasores detectam o tráfego, eles poderão ver o ID da sessão e usá-lo para assumir o controle da sessão do usuário.


O exemplo a seguir mostra uma configuração que combina canais inseguros e seguros:

  <property name="filterInvocationDefinitionSource">
    <value>
      CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
      \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL
      \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL
      \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL
      \A.*\Z=REQUIRES_INSECURE_CHANNEL
    </value>
  </property>

O Acegi Security permite a substituição temporária do objeto de autenticação no SecurityContext durante a fase de retorno de chamada do objeto seguro. Isso ocorre apenas se o objeto de autenticação original foi processado com êxito pelo AuthenticationManager e AccessDecisionManager. O RunAsManager cria esse objeto de autenticação.
Normalmente, os desenvolvedores usam RunAsManager para configurar uma ou mais funções adicionais para um usuário autenticado durante a chamada de um método. Isso é útil para um bean seguro que precisa acessar um aplicativo remoto. Como o aplicativo remoto pode exigir credenciais diferentes, isso permite a tradução entre as funções de chamada e aquelas que o aplicativo remoto precisa para que o acesso remoto seja bem-sucedido. O novo objeto de autenticação (chamado RunAsUserToken) será simplesmente aceito como um objeto de autenticação válido sem qualquer autenticação ou verificação de autorização adicional.
Adicionar novas funções ou privilégios ao novo objeto de autenticação tem a possibilidade de elevar temporariamente os privilégios do usuário, permitindo que ele execute uma ação não autorizada.
A configuração a seguir mostra o uso de RunAsManager para adicionar a função "UBER_BOSS" a um usuário que tem a função "ROLE_PEON", elevando temporariamente esse usuário para ter privilégios de gerente, o que permite que todos os peões obtenham dados do PrivateCatalog.

<bean id="bankManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
...
 <property name="objectDefinitionSource">
   <value>
     com.example.service.PrivateCatalog.getData=ROLE_PEON,RUN_AS_UBER_BOSS
...
   </value>
 </property>
</bean>

Por padrão, os fluxos de tarefas em um aplicativo Fusion não são diretamente acessíveis a partir de uma solicitação GET: sempre que um URL tenta invocar o fluxo de tarefas, ele recebe um código de status HTTP 403. No entanto, confiar em uma configuração implícita sempre carece de clareza e pode levar a um comportamento indesejado se a configuração padrão for alterada posteriormente.

Exemplo 1: O seguinte trecho de um arquivo de definição de fluxo de tarefas mostra o mesmo fluxo de tarefas definida com a configuração implícita url-invoke-disallowed por padrão.

...
    <task-flow-definition id="password">
        <default-activity>PasswordPrompt</default-activity>
        <view id="PasswordPrompt">
            <page>/PasswordPrompt.jsff</page>
        </view>
        <use-page-fragments/>
    </task-flow-definition>
...

Em um aplicativo JSF regular, os valores são convertidos e validados usando conversores e validadores especificados pelos componentes de IU. A conversão e validação em si acontecem quando a página é enviada. Uma visualização favoritável de um aplicativo Fusion resulta no não envio da página e, portanto, nenhuma conversão ou validação semelhante é realizada por padrão.

Exemplo 1: O seguinte trecho de um arquivo de configuração mostra uma amostra de visualização favoritável, configurada para não realizar conversão ou validação do parâmetro do URL paramName.

...
    <bookmark>
        <method>#{paramHandler.handleParams}</method>
        <url-parameter>
            <name>paramName</name>
            <value>#{requestScope.paramName}</value>
        </url-parameter>
    </bookmark>
...

Os valores de atributos para componentes do Oracle ADF Faces podem ser definidos normalmente apenas no servidor. No entanto, vários componentes permitem que o desenvolvedor defina uma lista de atributos que podem ser definidos no cliente. O atributo unsecure desses componentes pode especificar uma lista como essa.

Atualmente, o único atributo que pode aparecer dentro do atributo unsecure é disabled e permite que o cliente defina quais componentes estão habilitados e quais não estão. Nunca é uma boa ideia deixar que o cliente controle os valores de atributos que só devem ser configuráveis no servidor.

Exemplo: O código a seguir demonstra um componente inputText que coleta informações de senha do usuário e usa o atributo unsecure.

...
    <af:inputText id="pwdBox"
                  label="#{resources.PWD}"
                  value=""#{userBean.password}
                  unsecure="disabled"
                  secret="true"
                  required="true"/>
...

O armazenamento de chaves de criptografia em campos de classe estática permite a recuperação fácil por uma entidade que pode acessar a memória de processo (por exemplo, dispositivo com raiz) ou despejos de memória de processo (por exemplo, despejos de memória).