Você está aqui:
API (Habilitar configurações do OAuth): Emitir tokens de acesso baseados em JSON Web Token (JWT) para usuários nomeados
Essa configuração de segurança muda o servidor de autorização do Salesforce de emitir tokens de acesso opacos e baseados em referência para emitir tokens da Web JSON assinados criptograficamente independentes.
Nome do controle
Aplicativos conectados: API (Habilitar configurações do OAuth): Emitir tokens de acesso baseados em Token da Web JSON (JWT) para usuários nomeados
Configuração recomendada
Emita tokens de acesso baseados em Token da Web JSON (JWT) para usuários nomeados.
Visão geral de controle
Essa configuração de segurança muda o servidor de autorização do Salesforce de emitir tokens de acesso opacos e baseados em referência para emitir tokens da Web JSON independentes assinados por criptografia que incluem solicitações de permissão e identidade do usuário.
Risco de segurança, se não configurado
A ausência de tokens de acesso JWT aplicados adequadamente para sessões de aplicativo conectado leva a uma vulnerabilidade em que os formatos de token legados são mais suscetíveis a falsificação e acesso a recursos internos não autorizados por meio de identificadores de sessão interceptados.
Cenários de ameaça
Um invasor intercepta um identificador de sessão não criptografado e tenta reproduzi-lo em relação ao nível da API porque o sistema não requer um token estruturado assinado que pode ser validado em relação a uma chave pública específica e carimbo de data e hora de expiração.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não usar JWTs assinados impede que o aplicativo externo valide localmente a autenticidade e a integridade do token, aumentando a dependência do servidor de autorização para cada solicitação de validação e possivelmente atrasando a detecção de sessões comprometidas.
Risco maior quando
Quando a integração usa tokens de atualização de longa vida ou quando os metadados da organização são expostos por meio da carga útil do token sem proteção criptográfica suficiente.
Baixo risco quando
Se a organização exigir ciclos de vida de token curtos e usar certificados digitais exclusivos para cada solicitação de cliente externa distinta para garantir o isolamento das chaves de assinatura.
Considerações de negócios e integração
A implementação de tokens baseados em JWT exige que o aplicativo consumidor possua uma biblioteca JWT capaz de analisar o cabeçalho, a carga útil e a assinatura para verificar o conjunto de declarações antes de processar os dados.
Remediação recomendada
Acesse Políticas do OAuth para o aplicativo conectado e selecione a opção Emitir tokens de acesso baseados em JSON Web Token (JWT) para usuários nomeados.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o uso de tokens de acesso baseados em JWT como um padrão altamente recomendado para garantir que todas as declarações da sessão sejam assinadas e verificáveis para evitar falsificação de token e acesso não autorizado a recursos.