Vous êtes ici :
API (Activer les paramètres OAuth) : Nécessite un secret pour le contrôle de flux du serveur Web
Ce contrôle exige que l'application cliente fournisse son Secret client cryptographiquement fort lors de l'échange d'un code d'autorisation contre un jeton d'accès pour vérifier l'identité du client.
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Nécessite un secret pour le flux serveur Web
Configuration recommandée
Nécessite Secret pour le flux serveur Web.
Vue d'ensemble du contrôle
Ce contrôle exige que l'application cliente fournisse son Secret client cryptographiquement fort lors de l'échange d'un code d'autorisation contre un jeton d'accès pour vérifier l'identité du client.
Risque de sécurité s'il n'est pas configuré
Le flux de serveur Web (autorisation d'octroi de code d'autorisation) peut permettre à un assaillant qui intercepte un code d'autorisation temporaire de l'échanger contre un jeton d'accès de longue durée sans prouver qu'il contrôle le serveur back-end autorisé.
Scénarios de menace
Un adversaire intercepte un code d'autorisation via une redirection de navigateur ou une fuite de consignation et exécute immédiatement un échange de jetons depuis sa propre infrastructure, usurpant avec succès l'identité de l'application légitime pour accéder aux données de l'utilisateur.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Ne pas demander de secret facilite l'établissement de sessions non autorisées et l'exfiltration de données, transformant ainsi un code temporaire à usage unique en passerelle permanente pour la prise de contrôle de compte.
Risque plus élevé quand
Lorsque l'application est hébergée sur un serveur partagé ou utilise un schéma d'URI personnalisé qui augmente la probabilité d'interception de code d'autorisation par des applications locales malveillantes ou des proxy réseau.
Risque faible quand
Si l'entreprise a implémenté la PKCE (clé de vérification pour l'échange de code) en tant que contrôle compensateur, qui ajoute une couche dynamique secondaire de vérification au processus d'échange de code.
Considérations relatives à l'entreprise et à l'intégration
L'activation de cette exigence peut rompre les intégrations existantes si le client tiers n'a pas été correctement configuré pour contourner l'échange de secrets ou si le code côté client n'a pas un accès sécurisé au secret.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application connectée dans Configuration, puis cochez la case « Nécessite un secret pour le flux serveur Web ».
Guide d'examen sanitaire de sécurité
Security Health Review l'identifie comme une exigence fondamentale de « Client confidentiel » afin que les données CRM confidentielles soient publiées uniquement dans des applications vérifiées côté serveur qui peuvent protéger leurs identifiants.
