Usted está aquí:
API (Activar configuración de OAuth): Requerir clave de prueba para el control de intercambio de códigos (PKCE)
Una extensión de seguridad de OAuth 2.0 que utiliza un "verificador de código" criptográfico creado dinámicamente para asegurarse de que la aplicación que intercambia un código de autorización para un token de acceso es la misma que solicitó originalmente el código.
Nombre de control
Aplicaciones conectadas: API (Activar configuración de OAuth): Requerir clave de prueba para intercambio de códigos (PKCE)
Configuración recomendada
Requerir clave de prueba para la extensión de intercambio de códigos (PKCE) para flujos de autorización admitidos: seleccionada.
Descripción general de control
PKCE es una extensión de seguridad para OAuth 2.0 que utiliza un "verificador de código" criptográfico creado dinámicamente para garantizar que la aplicación que intercambia un código de autorización para un token de acceso es la misma aplicación que solicitó originalmente el código.
Riesgo de seguridad si no está configurado
Sin PKCE, los clientes públicos (como aplicaciones móviles o aplicaciones de una sola página) son vulnerables a "Intercepción de código de autorización" porque no pueden almacenar de forma segura un secreto de cliente para verificar su identidad durante el intercambio de tokens.
Escenarios de amenazas
Un atacante intercepta un código de autorización correcto a través de un esquema de URI personalizado o redireccionamiento de navegador e inmediatamente lo intercambia por un token de acceso válido antes de que la aplicación legítima pueda, secuestrando de forma efectiva la sesión del usuario.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
Una interceptación satisfactoria lleva a la adquisición total de cuentas dentro del ámbito de la aplicación, permitiendo potencialmente al adversario exfiltrar PII confidencial o realizar transacciones no autorizadas como el usuario comprometido.
Mayor riesgo cuando
El riesgo es alto para aplicaciones móviles y aplicaciones de una sola página donde el código se transmite a través de navegadores del sistema potencialmente inseguros o entornos de dispositivos compartidos.
Bajo riesgo cuando
El riesgo se considera inferior para "Clientes confidenciales" (integraciones de servidor a servidor) que pueden almacenar y utilizar de forma segura un Secreto de cliente para autenticar el intercambio de tokens, aunque PKCE aún se recomienda como defensa en profundidad.
Consideraciones de negocio e integración
La aplicación de PKCE requiere que los desarrolladores actualicen la lógica de protocolo de OAuth de sus aplicaciones para generar y enviar los parámetros code_challenge y code_verifier, que podrían requerir la actualización de bibliotecas móviles heredadas.
Remediación recomendada
Vaya a la configuración de la aplicación conectada en Salesforce y active la casilla de verificación "Requerir clave de prueba para la extensión de Code Exchange (PKCE)".
Directrices de revisión del estado de seguridad
Security Health Review identifica PKCE como una línea base obligatoria para todas las integraciones modernas de cara al público para cerrar la brecha de "inyección de código" y garantizar la verificación de identidad de alta seguridad para usuarios móviles y web.
