Ti trovi qui:
API (Abilita impostazioni OAuth): Flusso Secure Token Exchange
Questo controllo determina se un'applicazione client deve fornire un segreto quando scambia un token di terze parti con un token di accesso Salesforce.
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Flusso Secure Token Exchange
Configurazione consigliata
Abilitare il flusso exchange token. Impostato su Non richiedere segreto per il flusso exchange token.
Panoramica sul controllo
Questo controllo determina se un'applicazione client deve fornire un segreto quando scambia un token di terze parti (ad esempio un token ID di un provider di identità esterno) con un token di accesso Salesforce, consentendo in particolare ai client pubblici di ignorare questo requisito quando non possono memorizzare le credenziali in modo sicuro.
Rischio per la sicurezza se non configurato
Se un segreto non è richiesto correttamente per i client pubblici, gli sviluppatori sono costretti a inserire credenziali sensibili nel codice front-end dove possono essere raccolte. Al contrario, non richiederlo per i client privati consente ai server non autorizzati di eseguire scambi senza dimostrare la propria identità.
Scenari di minaccia
Un aggressore estrae un segreto client codificato dal binario di un'app mobile pubblica o intercetta un token di identità esterno e lo "scambia" correttamente con una sessione Salesforce poiché l'endpoint non richiedeva un segreto di backend per convalidare la richiesta.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
L'errata configurazione di questa impostazione causa l'esposizione sistemica delle credenziali client o l'abilitazione del "token-jumping", in cui le identità esterne compromesse vengono facilmente convertite in accesso Salesforce persistente.
Rischio maggiore quando
L'handler exchange token è configurato con un'ampia logica di provisioning automatico che crea nuovi utenti con autorizzazioni estese basate esclusivamente sul token non affidabile in entrata.
Basso rischio quando
I client pubblici utilizzano PKCE (Proof Key for Code Exchange) come livello di convalida secondario e quando gli handler exchange token convalidano rigorosamente le attestazioni "Emittente" e "Pubblico" del token in entrata.
Considerazioni su Business e integrazione
L'implementazione di questo richiede un inventario chiaro dei token "Oggetto" e "Attore" scambiati per assicurarsi che la policy di sicurezza sia in linea con le limitazioni tecniche dell'ambiente di chiamata (browser e server).
Rimedio consigliato
Deselezionare "Richiedi segreto per il flusso exchange token" per evitare fughe di segreti.
Guida all'esame dello stato della sicurezza
Security Health Review identifica questo come un controllo "Identity Bridging" critico, sottolineando che la sicurezza di un exchange di token è forte solo quanto la verifica del cliente che richiede la compravendita.
