您位於此處:
API (啟用 OAuth 設定):為已命名使用者核發 JSON Web 權杖 (JWT) 型存取權杖
此安全性設定會將 Salesforce 授權伺服器從核發不透明、以參照為基礎的存取權杖轉換為核發獨立的加密簽署 JSON Web 權杖。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):為已命名使用者核發 JSON Web 權杖 (JWT) 型存取權杖
建議組態
為已命名使用者核發 JSON Web 權杖 (JWT) 型存取權杖。
控制概觀
此安全性設定會將 Salesforce 授權伺服器從核發不透明、以參照為基礎的存取權杖轉換為核發包含使用者身分與權限宣告的獨立、加密簽署的 JSON Web 權杖。
未設定安全性風險
若未針對連線的應用程式工作階段適當強制執行 JWT 存取權杖,則會導致舊版權杖格式更容易因遭到攔截的工作階段識別碼而遭到偽造和未經授權的內部資源存取。
威脅情況
攻擊者會攔截未加密的工作階段識別碼,並嘗試針對 API 層級重新執行此識別碼,因為系統不需要可根據特定公用金鑰和到期時間戳記進行驗證的結構化簽署權杖。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
使用已簽署 JWT 失敗會讓外部應用程式無法在本機驗證權杖的真實性和完整性,進而增加對每個驗證要求授權伺服器的依賴,並可能延遲偵測入侵的工作階段。
風險愈高時機
當整合使用長期重新整理權杖時,或當組織中繼資料透過權杖裝載公開時,沒有足夠的加密保護。
低度風險時機
如果組織要求短權杖生命週期,並針對每個不同的外部用戶端應用程式使用唯一的數位憑證,以確保簽署金鑰的隔離。
業務與整合考量事項
實作 JWT 型權杖需要耗用應用程式擁有能夠剖析標題、裝載和簽章的 JWT 程式庫,才能在處理資料前驗證索賠集。
建議的補救措施
前往連線應用程式的 OAuth 原則,然後選取「為已命名使用者核發 JSON Web 權杖 (JWT) 型存取權杖」的選項。
安全性健康檢閱指南
安全性健康審查將使用 JWT 型存取權杖識別為強烈建議的標準,以確保所有工作階段判斷式皆已簽署且可驗證,以防止權杖偽造和未經授權的資源存取。
