限制连接的应用程序中的空闲刷新令牌 TTL
为了提高安全性,请将空闲刷新令牌 TTL(生存时间)设置为 30 天的限制,这是刷新令牌在过期之前处于非活动状态的时间。空闲 TTL 用作滑动窗口:在 30 天内每次使用令牌时,其空闲 TTL 都会重置。作为应用程序开发人员,当您打开此限制时,它会影响订阅者的刷新令牌策略。
所需的 Edition
| 适用于 Salesforce Classic 和 Lightning Experience |
连接的应用程序可以在以下位置创建:Group、Essentials、Professional、Enterprise、Performance、Unlimited 和 Developer Edition 连接的应用程序可以安装在:所有版本 |
| 所需用户权限 | |
|---|---|
| 要阅读、创建、更新或删除连接的应用程序: | 自定义应用程序权限和修改所有数据权限或管理连接的应用程序权限 |
备注 查找关于限制空闲刷新令牌 TTL 的外部客户端应用程序文档?请参阅此文章。
与您的订阅者合作,让他们知道您何时启用这些更改。以下是一些对您和订阅者非常重要的亮点。
- 这些策略受限制的影响。
- 刷新标记在撤销前有效
- 在数字单位时间后使刷新标记过期
- 刷新标记过期(如果未用于数字时间单位)
- 对于“刷新标记在撤销前有效”和“刷新标记过期,如果未用于数字时间单位”策略,该限制会导致与 UI、行为和元数据不一致。要修复这些不一致,请更新您的应用程序并鼓励订阅者也这样做。
- “立即过期刷新标记”策略不受该限制的影响。
以下是此限制如何影响每个策略的详细概述。
| 刷新令牌策略 | 空闲 TTL 限制的行为更改 | 如何修复 UI、行为和元数据的不一致 |
|---|---|---|
| 刷新标记在撤销前有效 | 随着空闲 TTL 限制的强制执行,此策略不再有效。在 UI 中,此选项变为隐藏,策略选择更改为“如果未在特定时间内使用,刷新令牌过期”,有效期设置为 30 天。 | Salesforce 不会自动更新应用程序的元数据以反映此更改。更新 ConnectedAppOauthPolicy 元数据类型:将 refreshTokenPolicy 字段的值更改为 specific_inactivity:30:DAYS |
| 刷新标记立即过期 | 无 | 不适用 |
| 在数字单位时间后使刷新标记过期 | 刷新令牌仍使用应用程序策略中配置的有效期。如果超过 30 天,空闲 TTL 限制也适用。 例如,如果配置的有效期是 1 年,空闲令牌仍会在 30 天后过期。在连续使用的情况下,令牌可以持续最多 1 年。 |
不适用 |
| 刷新标记过期(如果未用于数字时间单位) | 此策略中配置的该有效期已经用作具有滑动窗口的空闲 TTL。唯一的更改是配置的有效期不能超过 30 天。 | Salesforce 不会自动更新 UI 或元数据以反映此更改。
|
要打开空闲 TTL 限制,请执行以下步骤。
- 从“设置”中,在快速查找框中输入应用程序,然后单击应用程序管理器。
- 查找应用程序,并单击编辑。
- 在 API(启用 OAuth 设置)部分,打开将空闲刷新令牌的生存时间 (TTL) 限制为 30 天。
- 保存更改。
- 单击管理,然后选择编辑策略。
- 修复与行为、UI 和元数据的任何不一致。有关要更新哪些元数据类型和字段的具体信息,请参考上表。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
