Vous êtes ici :
API (Activer les paramètres OAuth) : Activer le contrôle de rotation du jeton d'actualisation
Ce contrôle invalide et remplace chaque jeton d'actualisation par un nouveau chaque fois qu'il est utilisé pour obtenir un nouveau jeton d'accès.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Activer la rotation du jeton d'actualisation
Configuration recommandée
Activez Rotation du jeton d'actualisation.
Vue d'ensemble du contrôle
Ce contrôle invalide et remplace chaque jeton d'actualisation par un nouveau chaque fois qu'il est utilisé pour obtenir un nouveau jeton d'accès.
Risque de sécurité s'il n'est pas configuré
Sans rotation, un jeton d'actualisation est « statique » et de longue durée, ce qui signifie que s'il est volé, il peut être utilisé indéfiniment pour générer de nouvelles sessions sans que l'assaillant n'ait jamais besoin du mot de passe ou de la MFA de l'utilisateur.
Scénarios de menace
Un assaillant exfiltre un jeton d'actualisation du stockage local de l'appareil d'un utilisateur ou d'un fichier journal compromis, et l'utilise pour maintenir un accès permanent et silencieux à l'organisation Salesforce longtemps après la déconnexion de l'utilisateur d'origine.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'absence de rotation permet une « persistance infinie des sessions », permettant à un adversaire de demeurer dans l'environnement sans être détecté pendant des mois et d'exfiltrer systématiquement les données.
Risque plus élevé quand
Le risque est nettement plus élevé pour les clients publics (applications mobiles et à page unique) qui stockent des jetons dans des environnements de navigateur ou d'appareil moins sécurisés, où ils sont plus susceptibles d'être volés par des logiciels malveillants.
Risque faible quand
Lorsque la rotation du jeton d'actualisation est associée à la PKCE (clé de vérification pour l'échange de code) et à des jetons d'accès de courte durée, assurez-vous que tout jeton volé est effectivement « à usage unique », et l'assaillant ne peut pas mathématiquement prouver qu'il est le demandeur d'origine pour obtenir un nouveau jeton.
Considérations relatives à l'entreprise et à l'intégration
L'activation de la rotation nécessite que l'application cliente soit capable de mettre à jour son jeton d'actualisation stocké après chaque appel, car si vous n'enregistrez pas le nouveau jeton, l'application sera « verrouillée » lors de sa prochaine tentative de synchronisation.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application connectée, puis cochez la case « Activer la rotation du jeton d'actualisation ».
Guide d'examen sanitaire de sécurité
Security Health Review identifie la rotation des jetons d'actualisation comme un mécanisme critique de "Zero Trust" qui réduit drastiquement le "rayon d'explosion" d'un identifiant volé en faisant de chaque jeton un actif à usage unique.
