Usted está aquí:
API (Activar configuración de OAuth): Requerir clave de prueba para intercambio de códigos (PKCE)
Una extensión de seguridad de OAuth 2.0 que utiliza un "verificador de código" criptográfico creado de forma dinámica para asegurarse de que la aplicación que intercambia un código de autorización para un token de acceso es la misma que solicitó originalmente el código.
Nombre de control
Aplicaciones conectadas: API (Activar configuración de OAuth): Requerir clave de prueba para intercambio de códigos (PKCE)
Configuración recomendada
Requerir clave de prueba para la extensión de intercambio de códigos (PKCE) para flujos de autorización admitidos: Seleccionado.
Descripción general de control
PKCE es una extensión de seguridad para OAuth 2.0 que utiliza un "verificador de código" criptográfico creado de forma dinámica para garantizar que la aplicación que intercambia un código de autorización para un token de acceso es la misma aplicación que solicitó originalmente el código.
Riesgo de seguridad si no está configurado
Sin PKCE, los clientes públicos (como aplicaciones móviles o aplicaciones de una sola página) son vulnerables a "Interceptación de código de autorización" porque no pueden almacenar de forma segura un secreto de cliente para verificar su identidad durante el intercambio de tokens.
Escenarios de amenazas
Un atacante intercepta un código de autorización correcto a través de un esquema de URI personalizado o redireccionamiento del navegador e inmediatamente lo intercambia por un token de acceso válido antes de que la aplicación legítima pueda, secuestrando de forma efectiva la sesión del usuario.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
Una interceptación correcta lleva a la apropiación total de cuentas dentro del ámbito de la aplicación, permitiendo potencialmente al adversario exfiltrar información confidencial o realizar transacciones no autorizadas como el usuario comprometido.
Riesgo más alto cuando
El riesgo es alto para aplicaciones móviles y aplicaciones de una sola página donde el código se transmite a través de navegadores del sistema potencialmente inseguros o entornos de dispositivos compartidos.
Bajo riesgo cuando
El riesgo se considera inferior para "Clientes confidenciales" (integraciones de servidor a servidor) que pueden almacenar y utilizar de forma segura un Secreto de cliente para autenticar el intercambio de tokens, aunque PKCE aún se recomienda como defensa en profundidad.
Consideraciones comerciales y de integración
La aplicación de PKCE requiere que los desarrolladores actualicen la lógica de apretón de manos de OAuth de su aplicación para generar y enviar los parámetros code_challenge y code_verifier, que podrían requerir la actualización de bibliotecas móviles heredadas.
Remediación recomendada
Vaya a la configuración de Aplicación conectada en Salesforce y active la casilla de verificación para "Requerir clave de prueba para la extensión de Code Exchange (PKCE)".
Directrices de revisión del estado de seguridad
Security Health Review identifica PKCE como una línea base obligatoria para todas las integraciones modernas de cara al público para cerrar la brecha de "inyección de código" y garantizar la verificación de identidad de alta seguridad para usuarios móviles y web.
