Flujo servidor web de OAuth 2.0 para la integración de aplicaciones web

Usted está aquí:

Flujo servidor web de OAuth 2.0 para la integración de aplicaciones web

Para integrar una aplicación web externa con la API de Salesforce, utilice el flujo servidor web de OAuth 2.0, que implementa el tipo de otorgamiento de código de autorización de OAuth 2.0. Con este flujo, el servidor que aloja la aplicación web debe poder proteger la identidad de la aplicación cliente externa, definida por el Id. de cliente y el secreto de cliente.

Ediciones necesarias

Disponible en: Salesforce Classic (no disponible en todas las organizaciones) y Lightning Experience

Disponible en: todas las ediciones

Recomendamos que utilice el flujo de servidor web con Clave de prueba para Code for Exchange (PKCE, pronosticado pixi) en lugar del flujo usuario-agente o el flujo nombre de usuario-contraseña para escenarios especiales. Utilice los parámetros code_challenge y code_verifier para implementar PKCE con el flujo de servidor web. Para obtener más información sobre PKCE, consulte Grupo de tareas de ingeniería de Internet (IETF.). También recomendamos que bloquee todas las aplicaciones cliente externas para que no utilicen el flujo usuario-agente o el flujo nombre de usuario-contraseña. Para los pasos, consulte Bloquear flujos de autorización para mejorar la seguridad.

Este es un caso de uso de ejemplo para implementar el flujo servidor web. Recientemente desarrolló un servicio web que permite el acceso seguro al estado de pedidos de clientes. Los datos de estado del pedido se almacenan de forma segura en su plataforma de CRM de Salesforce. Para autorizar a los usuarios del Servicio de asistencia a ver el estado de pedidos de un cliente, desarrolla una aplicación Estado de pedido y la configura como una aplicación cliente externa con el flujo de servidor web.

Un usuario del Centro de ayuda hace clic en la aplicación web Estado de pedido.
La aplicación cliente externa publica una solicitud de código de autorización en el extremo de autorización de Salesforce.
Se redirige al usuario a la página de inicio de sesión de Salesforce. Después de un inicio de sesión satisfactorio, se solicita al usuario que apruebe el acceso de la aplicación a los datos del estado del pedido.
Después de que el usuario apruebe que la aplicación Estado de pedido acceda a los datos, Salesforce envía una devolución de llamada a la aplicación Estado de pedido con un código de autorización.
La aplicación Estado de pedido pasa el código de autorización al extremo de tokens de Salesforce, solicitando un token de acceso.
Salesforce valida el código de autorización y envía de vuelta un token de acceso que incluye permisos asociados en la forma de ámbitos.
La aplicación Estado de pedido envía una solicitud de vuelta a Salesforce para acceder a los datos de estado del pedido. La solicitud incluye el token de acceso con los ámbitos asociados.
Salesforce valida el token de acceso y los ámbitos asociados.
La aplicación Estado de pedido puede acceder a los datos protegidos, y el estado del pedido del cliente se muestra en la aplicación.
Nota Si el token de acceso deja de ser válido, la aplicación cliente externa puede utilizar un token de actualización para obtener un nuevo token de acceso.

Echemos un vistazo con detalle a cada paso de este flujo de autorización.

Solicitar un código de autorización

Para iniciar el flujo de servidor web de OAuth 2.0, el servicio web externo (a través de la aplicación cliente externa) publica una solicitud de código de autorización utilizando el tipo de otorgamiento de código de autorización en el extremo de autorización de Salesforce. Con un código de autorización, la aplicación cliente externa puede probar que se autorizó como visitante seguro del sitio y que tiene permiso para solicitar un token de acceso.

El código de autorización se realiza en la forma de un redireccionamiento HTTP.

https://MyDomainName.my.salesforce.com/services/oauth2/authorize?
client_id=3MVG9IHf89I1t8hrvswazsWedXWY0i1qK20PSFaInvUgLFB6vrcb9bbWFTSIHpO8G2jxBLJA6uZGyPFC5Aejq&
redirect_uri=https://www.mycustomerorderstatus.com/oauth2/callback&
response_type=code

Incluya estos parámetros en la solicitud del código de autorización.

Parámetro	Descripción
`Request Header`	El extremo de autorizaciones de OAuth 2.0 de Salesforce. Las aplicaciones cliente externas envían solicitudes de autorización de OAuth a este extremo.
`client_id`	La clave de consumidor de la aplicación cliente externa. Para acceder a la clave de consumidor, desde el Gestor de aplicaciones, busque la aplicación cliente externa y seleccione Ver desde el menú desplegable. A continuación haga clic en Gestionar detalles de consumidor. A veces se le solicita verificar su identidad antes de poder ver la clave de consumidor.
`redirect_uri`	La URL donde se redirige a los usuarios después de una autenticación satisfactoria. El URI de redireccionamiento debe coincidir con uno de los valores del campo URL de devolución de llamada de la aplicación cliente externa. De lo contrario, la aprobación falla. Puede encontrar el URI de redireccionamiento en la página Configuración de OAuth de la aplicación cliente externa. Este valor debe tener codificación de URL.
`response_type`	El tipo de concesión de OAuth 2.0 que solicita la aplicación cliente externa. El valor de este flujo debe ser `code` para indicar que la aplicación cliente externa está solicitando un código de autorización.

También puede incluir estos parámetros en la solicitud del código de autorización.

Parámetro	Descripción
`scope`	Permisos que definen el tipo de recursos protegidos a los que puede acceder una aplicación cliente externa. Usted asigna ámbitos a una aplicación cliente externa cuando la crea, y se incluyen con los tokens de OAuth durante el flujo de autorización. Si no incluye este parámetro, se solicitan todos los ámbitos asignados a la aplicación cliente externa. Los ámbitos que se hayan pasado en este parámetro deben ser un subconjunto de los ámbitos registrados. Para parámetros válidos, consulte Tokens y ámbitos de OAuth.
`sso_provider`	El nombre del desarrollador de un proveedor de identidad de inicio de sesión único (SSO) configurado con una URL de inicio de sesión de Mi dominio o una URL de sitio de Experience Cloud. Puede utilizar este parámetro para crear una experiencia de SSO que hace parecer que su aplicación está integrada con el proveedor de SSO. Por ejemplo, puede utilizar este parámetro para ofrecer SSO en una implementación de Identidad desatendida. Para obtener más información, consulte Crear una experiencia de inicio de sesión único nativa en su aplicación.
`state`	Cualquier estado que solicite el servicio web externo a la URL de devolución de llamadas. Este valor debe tener codificación de URL.
`immediate`	Un valor booleano que determina si se solicita al usuario el inicio de sesión y la aprobación. El valor predeterminado es `false`. Si establece este parámetro en `true`, se produce uno de estos escenarios. Si el usuario inició sesión y aprobó previamente el acceso del cliente, Salesforce omitirá el paso de la aprobación. Si el usuario no inició sesión o no aprobó previamente el acceso del cliente, Salesforce terminará inmediatamente con el código de error `immediate_unsuccessful`. La opción `immediate` no está disponible para sitios de Experience Cloud.
`code_challenge`	Especifica el valor de hash SHA256 del valor `code_verifier` en la solicitud de token. Establezca este parámetro para ayudar a evitar ataques de intercepción de códigos de autorización. El valor debe estar codificado en base64url, como se define en `https://tools.ietf.org/html/rfc4648#section-5`. Este parámetro es necesario si se especifica un verificador `code_verifier` en la solicitud de token. Si se proporciona un valor del `code_challenge` en la solicitud de autorización y se proporciona un valor de `code_verifier` en la solicitud de token, Salesforce compara los `code_challenge` con el `code_verifier`. Si `code_challenge` no es válido o no coincide, el inicio de sesión fallará, con el código de error `invalid_request`. Si en la solicitud de autorización se proporciona el valor de `code_challenge`, pero en la solicitud de token no se proporciona un valor de `code_verifier`, el inicio de sesión falla con el código de error `invalid_grant`.
`display`	Cambia el tipo de visualización de las páginas de inicio de sesión y autorización. Salesforce admite estos valores: `page`: pantalla de autorización de página completa (predeterminado). `popup`: cuadro de diálogo compacto optimizado para cuadros emergentes de un explorador web moderno. `touch`: cuadro de diálogo optimizado para aplicaciones móviles diseñado para dispositivos móviles modernos, como Android e iPhone. `mobile`: cuadro de diálogo optimizado para aplicaciones móviles diseñado para dispositivos menos modernos, como el sistema operativo BlackBerry 5.
`login_hint`	Proporciona un valor de nombre de usuario válido para rellenar previamente la página de inicio de sesión con el nombre de usuario, por ejemplo, `login_hint=username@company.com`. Si un usuario ya tiene una sesión activa en el navegador, el parámetro `login_hint` no hace nada y la sesión de usuario activa continúa. Para pasar el parámetro `login_hint` para sitios de Experience Cloud, hay que pasar también el parámetro `prompt=login`. Juntos, estos parámetros redirigen al usuario a la página de inicio de sesión con la sugerencia de inicio de sesión correcta.
`nonce`	Utilícelo con el ámbito `openid` para solicitar un token de Id. de usuario. El token de Id. de usuario se devuelve en la respuesta. Este parámetro es opcional, pero ayuda a detectar ataques de repetición.
`prompt`	Especifica cómo el servidor de autorización solicita al usuario una reaprobación y reautenticación. Salesforce admite estos valores: `login`: el servidor de autorización debe solicitar al usuario la reautenticación, forzando así a que el usuario vuelva a iniciar sesión. `consent`: el servidor de autorización debe solicitar al usuario una reaprobación antes de devolver información al cliente. `select_account`: si se presenta, utilice una para las acciones a continuación. Si cero o una indicación está disponible y el usuario ha iniciado sesión, muestre la página de aprobación sin solicitar el inicio de sesión. Si cero o una indicación está disponible y el usuario no ha iniciado sesión, solicite el inicio de sesión. Si más de una indicación está disponible, muestre el selector de cuentas. Puede pasar los valores `login` y `consent`, separados por un espacio, para solicitar al usuario tanto iniciar sesión como volver a autenticarse. Por ejemplo: `?prompt=login%20consent`
Encabezado `Uvid-Hint`	Opcionalmente, para conectar este flujo al flujo de invitados desatendido, puede incluir un encabezado `Uvid-Hint` con un token de acceso basado en JWT que contiene un valor UVID, que es un identificador exclusivo universal (UUID) de versión 4 que genera y gestiona su aplicación. Para obtener un token de acceso con un UVID, debe activar su aplicación cliente externa para emitir tokens de acceso basados en JWT e implementar el flujo de invitados desatendido en su aplicación. Si implementa el flujo de usuarios invitados en su aplicación, puede opcionalmente utilizar este encabezado para pasar en un token de acceso basado en Token web de JSON (JWT) que contenga un Id. de visitante exclusivo (UVID) vinculado a la identidad de un usuario invitado. Al pasar el UVID a un flujo de usuario nombrado, puede llevar información contextual desde una sesión de usuario invitado, como las preferencias de cookies del usuario, a una sesión de usuario nombrada.
Parámetro de cuerpo `uvid_hint`	Un valor `UVID` sin formato, que es un UUID de versión 4 que su aplicación genera y gestiona. Para obtener una `UVID`, debe activar su aplicación cliente externa para emitir tokens de acceso basados en JWT e implementar el flujo de invitados desatendido en su aplicación. También puede utilizar este parámetro para pasar un valor de UVID vinculado a la identidad de un usuario invitado, trasladando información contextual desde una sesión de usuario invitado a una sesión de usuario con nombre indicado. En lugar de pasar el identificador UVID en el cuerpo de la solicitud, también puede lo pasar en un token basado en JWT con un UVID a través del encabezado `UVID-Hint`.

El usuario autentica y autoriza el acceso

Antes de que Salesforce proporcione códigos de autorización a aplicaciones cliente externas, se solicita a los usuarios autenticadores iniciar sesión en Salesforce.

Página de inicio de sesión en organización de Salesforce

Tras un inicio de sesión satisfactorio, Salesforce redirige a los usuarios a la página de aprobación para otorgar acceso a la aplicación.

Página de aprobación para otorgar acceso a la aplicación conectada.

Si los usuarios ya aprobaron el acceso, no es necesario volver a aprobar el acceso de nuevo.

Salesforce otorga el código de autorización

Después de que los usuarios aprueben el acceso a una aplicación cliente externa, Salesforce redirige a los usuarios a la URL de devolución de llamada, donde pueden ver la devolución de llamada con un código de autorización.

https://www.mycustomerorderstatus.com/oauth2/callback?
code=aPrx4sgoM2Nd1zWeFVlOWveD0HhYmiDiLmlLnXEBgX01tpVOQMWVSUuafFPHu3kCSjzk4CUTZg==

La primera parte de la devolución de llamada es la URL de devolución de llamada de la aplicación cliente externa: https://www.mycustomerorderstatus.com/oauth2/callback.
La segunda parte es el código de autorización que la aplicación cliente externa utiliza para obtener un token de acceso:code=aPrx4sgoM2Nd1zWeFVlOWveD0HhYmiDiLmlLnXEBgX01tpVOQMWVSUuafFPHu3kCSjzk4CUTZg==. El código de autorización caduca después de 15 minutos.

Si el parámetro state está incluido en la cadena de consola original, el estado especificado se pasa en el paso de aprobación.

Solicitar un token de acceso

Para solicitar un token de acceso, la aplicación cliente externa pasa el código de autorización al extremo del token de Salesforce como un POST HTTP.

POST /services/oauth2/token HTTP/1.1
Host: mycompany.my.salesforce.com
Content-length: 307
Content-type: application/x-www-form-urlencoded
grant_type=authorization_code&
code=aPrxhgZ2MIpkSy0aOdn07LjKFvsFOis6RGcWXz7p8JQCjcqfed5NQLe7sxWwMY_JQFuLwHRaRA==&
client_id=3MVG9IHf89I1t8hrvswazsWedXWY0iqK20PSFaInvUgLFB6vrcb9bbWFTSIHpO8G2jxBLJA6uZGyPFC5Aejq&
client_secret=*******************&
redirect_uri=https://www.mycustomerorderstatus.com/oauth2/callback

POST en el ejemplo contiene estos parámetros.

Importante Cuando desarrolle integraciones de OAuth, pase siempre información confidencial en el cuerpo de una solicitud POST o en un encabezado de solicitud. No utilice parámetros GET en la cadena de consulta URL para pasar información confidencial. La información confidencial incluye, entre otros, nombres de usuario, contraseñas, tokens de OAuth, secretos de clientes y cualquier información de identificación personal. Para obtener más información sobre mejores prácticas de seguridad, consulte Almacenamiento de datos confidenciales en la Guía de codificación segura.

Parámetro	Descripción
`Request Header`	El encabezado de la solicitud puede contener estos parámetros. El extremo de OAuth 2.0 de Salesforce. Las aplicaciones cliente externas envían solicitudes de token de OAuth a este extremo. La dirección URL del servicio de alojamiento. La longitud del contenido de la solicitud. El formato solicitado de la respuesta devuelta. Se admiten estos formatos. `Accept: application/json` `Accept: application/xml` `Accept: application/x-www-form-urlencoded` El encabezado de la solicitud también admite estos parámetros. Se acepta el carácter comodín `/`, y devuelve JSON. Una lista de valores, que se comprueba de izquierda a derecha. Por ejemplo: `application/xml,application/json,application/html,/` devuelve XML. El parámetro `format` tiene preferencia sobre el encabezado de la solicitud de acceso.
`grant_type`	El tipo de validación que la aplicación cliente externa puede proporcionar para probar que es un visitante seguro. Para el flujo de servidor web, el valor debe ser `authorization_code`.
`code`	Un código de autorización temporal recibido del servidor de autorización. La aplicación cliente externa utiliza este código a cambio de un token de acceso. Este tipo de flujo de OAuth 2.0 es una forma segura de pasar el token de acceso de vuelta a la aplicación.
`client_id`	La clave de consumidor de la aplicación cliente externa. Para acceder a la clave de consumidor, desde el Gestor de aplicaciones, busque la aplicación cliente externa y seleccione Ver desde el menú desplegable. A continuación haga clic en Gestionar detalles de consumidor. A veces se le solicita verificar su identidad antes de poder ver la clave de consumidor.
`client_secret`	Secreto de consumidor de la aplicación cliente externa. Para acceder al secreto de consumidor, desde el Gestor de aplicaciones, busque la aplicación cliente externa y seleccione Ver desde el menú desplegable. A continuación haga clic en Gestionar detalles de consumidor. A veces se le solicita verificar su identidad antes de poder ver el secreto de consumidor. Este parámetro es obligatorio a menos que la aplicación cliente externa no tenga activado Requerir secreto para flujo de servidor web. Si no se requiere un `client_secret` y la aplicación cliente externa lo envía en la solicitud de autorización, Salesforce intenta validarlo de todos modos.
`redirect_uri`	La URL donde se redirige a los usuarios después de una autenticación satisfactoria. El URI de redireccionamiento debe coincidir con uno de los valores del campo URL de devolución de llamada de la aplicación cliente externa. De lo contrario, la aprobación falla. Puede encontrar el URI de redireccionamiento en la página Configuración de OAuth de la aplicación cliente externa o desde la definición de la aplicación cliente externa. Este valor debe tener codificación de URL.

También puede incluir estos parámetros.

Parámetro	Descripción
`client_assertion`	En vez de pasar `client_secret`, puede proporcionar `client_assertion` y `client_assertion_type`. Si no se proporciona un parámetro `client_secret`, Salesforce comprueba si hay `client_assertion` y `client_assertion_type`. Consulte Utilizar `client_assertion` en vez de `client_secret`.
`client_assertion_type`	Proporcione este valor cuando utilice el parámetro `client_assertion`. El valor de `client_assertion_type` debe ser `urn:ietf:params:oauth:client-assertion-type:jwt-bearer`.
`code_verifier`	Solo es necesario si se especificó un parámetro `code_challenge` en la solicitud de autorización. Especifica 128 bytes de datos aleatorios con alta entropía para hacer que sea difícil adivinar el valor de `code`. Establezca este parámetro para ayudar a evitar ataques de intercepción de códigos de autorización. El valor debe estar codificado en base64url, como se define en `https://tools.ietf.org/html/rfc4648#section-5`. Si se proporciona el valor de `code_verifier` en la solicitud de token y se proporciona un valor de `code_challenge` en la solicitud de autorización, Salesforce compara `code_verifier` con `code_challenge`. Si `code_verifier` no es válido o no coincide, el inicio de sesión fallará, con el código de error `invalid_grant`. Si se proporciona el valor de `code_verifier` en la solicitud de token pero no se proporciona un valor de `code_challenge` en la solicitud de autorización, el inicio de sesión fallará, con el código de error `invalid_grant`.
`format`	Si no se incluye en el encabezado de la solicitud, puede especificar el formato de devolución esperado. El parámetro `format` tiene prioridad sobre el encabezado de la solicitud. Se admiten estos formatos. `urlencoded` `json` (predeterminado) `xml`

Utilice client_assertion en vez de client_secret.

Si proporciona client_assertion en vez de client_secret, el valor de client_assertion debe incluir estos parámetros.

iss: El client_id de la definición de la aplicación cliente externa.
sub: El client_id de la definición de la aplicación cliente externa.
aud: La URL del servlet de token: http://nombrehost/services/oauth2/token.
exp: el plazo de vencimiento de la afirmación, en 5 minutos, expresado como el número de segundos desde 1970-01-01T0:0:0Z según la zona horaria UTC.

La client_assertion también debe estar firmada con la clave privada asociada con el certificado cargado del consumidor de OAuth. Solo se admite el algoritmo RS256. Para el método de autenticación de cliente private_key_jwt, consulte las especificaciones de OpenID Connect.

Esquema de autenticación HTTP básica

En lugar de enviar credenciales de cliente como parámetros en el cuerpo de la operación POST, Salesforce admite el esquema de autenticación HTTP básica. Este formato de esquema requiere client_id y client_secret en el encabezado de autorización de la publicación de la siguiente forma:

Authorization: Basic64Encode(client_id:secret)

client_id y client_secret se separan con un punto (:). Para obtener más información consulte el documento Marco de autorización OAuth 2.0.

Este ejemplo muestra una solicitud POST de token de acceso que utiliza el esquema de autenticación HTTP básica en lugar de enviar credenciales de cliente en el cuerpo de la solicitud POST.

POST /services/oauth2/token HTTP/1.1
Host: mycompany.my.salesforce.com
Authorization: Basic client_id=3MVG9IHf89I1t8hrvswazsWedXWY0iqK20PSFaInvUgLFB6vrcb9bbWFTSIHpO8G2jxBLJA6uZGyPFC5Aejq&
client_secret=*******************&

grant_type=authorization_code&code=aPrxsmIEeqM9PiQroGEWx1UiMQd95_5JUZ
VEhsOFhS8EVvbfYBBJli2W5fn3zbo.8hojaNW_1g%3D%3D&
redirect_uri=https%3A%2F%2Fwww.mysite.com%2Fcode_callback.jsp

Nota Si client_id y client_secret se envían en el cuerpo de POST, se ignora el encabezado de autorización.

Salesforce otorga un token de acceso

Después de que Salesforce valide las credenciales de la aplicación cliente externa, devuelve una respuesta con el token de acceso. En este ejemplo, la respuesta está en un formato JSON.

{
"access_token": "00DB0000000TfcR!AQQAQFhoK8vTMg_rKA.esrJ2bCs.OOIjJgl.9Cx6O7KqjZmHMLOyVb.U61BU9tm4xRusf7d3fD1P9oefzqS6i9sJMPWj48IK",
"signature": "d/SxeYBxH0GSVko0HMgcUxuZy0PA2cDDz1u7g7JtDHw=",
"scope": "web openid",
"id_token": "eyJraWQiOiIyMjAiLCJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJhdF9oYXNoIjoiSVBRNkJOTjlvUnUyazdaYnYwbkZrUSIsInN1YiI6Imh0dHBzOi8vbG9...",
"instance_url": "https://mycompany.my.salesforce.com",
"id": "https://login.salesforce.com/id/00DB0000000TfcRMAS/005B0000005Bk90IAC",
"token_type": "Bearer",
"issued_at": "1558553873237"
}

La respuesta incluye estos parámetros:

Parámetro	Descripción
`access_token`	Token de OAuth que una aplicación cliente externa utiliza para solicitar acceso a un recurso protegido en nombre de la aplicación cliente. Pueden acompañar permisos adicionales en la forma de ámbitos al token de acceso.
`signature`	Firma HMAC-SHA256 con codificación Base64 firmada con `client_secret`. La firma puede incluir el Id. concatenado y `issued_at value`, que puede utilizar para verificar que la dirección URL de identidad no ha cambiado desde que la envió el servidor.
`scope`	Los ámbitos asociados con el token de acceso. Los ámbitos definen más el tipo de recursos protegidos a los que el cliente puede acceder. Usted asigna ámbitos a una aplicación cliente externa cuando la crea, y se incluyen con los tokens de OAuth durante el flujo de autorización. Para parámetros válidos, consulte Tokens y ámbitos de OAuth.
`id_token`	Una estructura de datos firmada que contiene atributos de usuario autenticados, incluyendo un identificador único para el usuario y una marca de tiempo que indica el momento en que se emite el token. También identifica la aplicación del cliente solicitante. Consulte Especificaciones de OpenID Connect. Si el parámetro `scope` incluye `openid`, se devuelve este parámetro.
`instance_url`	Una URL que indica la instancia de la organización del usuario. Por ejemplo: `https://yourInstance.salesforce.com/`.
`id`	Una URL de identidad que se puede utilizar para identificar al usuario y para consultar con el fin de obtener más información acerca del usuario. Consulte URL de identidad.
`token_type`	Un tipo de token `Bearer`, que se utiliza para todas las respuestas que incluyen un token de acceso.
`issued_at`	Marca de tiempo del momento de creación de la firma en milisegundos.

La respuesta también puede contener estos parámetros.

Parámetro	Descripción
`refresh_token`	Token obtenido del servidor web, usuario-agente o flujo de token de aplicación híbrida. Se trata de un valor secreto. Tome las medidas apropiadas para protegerlo. Este parámetro solo se devuelve si su aplicación cliente externa está configurada con un ámbito de `refresh_token`.
`sfdc_site_url`	Si el usuario es miembro de un sitio de Experience Cloud, se proporciona la dirección URL del sitio.
`sfdc_site_id`	Si el usuario es miembro de un sitio de Experience Cloud, se proporciona el Id. de sitio del usuario.
`state`	El estado solicitado por el cliente. Este valor solo se incluye si el parámetro `state` ya estaba en la cadena de consulta original.

Consulte también:

Errores de autorización de OAuth 2.0

¿Resolvió este artículo su problema?

¡Háganos saber cómo podemos mejorar!

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.

Flujo servidor web de OAuth 2.0 para la integración de aplicaciones web

Ediciones necesarias

Solicitar un código de autorización

El usuario autentica y autoriza el acceso

Salesforce otorga el código de autorización

Solicitar un token de acceso

Salesforce otorga un token de acceso

Consulte también:

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.Cambiar a inglésAhora no

Área de productos

Repercusión de función

Edición

Experiencia

Flujo servidor web de OAuth 2.0 para la integración de aplicaciones web

Ediciones necesarias

Solicitar un código de autorización

El usuario autentica y autoriza el acceso

Salesforce otorga el código de autorización

Solicitar un token de acceso

Salesforce otorga un token de acceso

Consulte también:

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.