Você está aqui:
API (Habilitar configurações do OAuth): Fluxo de troca de token seguro
Esse controle determina se um aplicativo cliente deve fornecer um segredo ao trocar um token de terceiros por um token de acesso do Salesforce.
Nome do controle
Aplicativos conectados: API (Habilitar configurações do OAuth): Fluxo de troca de token seguro
Configuração recomendada
Habilite o Fluxo de troca de token. Defina como Não exigir segredo para fluxo de troca de token.
Visão geral de controle
Esse controle determina se um aplicativo cliente deve fornecer um segredo ao trocar um token de terceiros (como um token de ID de um provedor de identidade externo) por um token de acesso do Salesforce, especificamente permitindo que os clientes públicos ignorem esse requisito quando não conseguem armazenar credenciais com segurança.
Risco de segurança, se não configurado
Se um segredo for obrigatório incorretamente para clientes públicos, os desenvolvedores serão forçados a codificar as credenciais confidenciais em código de front-end em que elas possam ser colhidas. Por outro lado, não exigir isso para clientes privados permite que servidores não autorizados realizem trocas sem comprovar sua identidade.
Cenários de ameaça
Um invasor extrai um segredo do cliente embutido em código do binário de um aplicativo móvel público ou intercepta um token de identidade externo e o "negocia" com sucesso para uma sessão do Salesforce porque o ponto de extremidade não exigia um segredo de back-end para validar a solicitação.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
A configuração incorreta dessa configuração leva à exposição sistêmica das credenciais do cliente ou à ativação do "token-jumping", em que identidades externas comprometidas são facilmente convertidas em acesso persistente ao Salesforce.
Risco maior quando
O Manipulador de troca de token é configurado com uma lógica ampla de "provisionamento automático" que cria novos usuários com extensas permissões baseadas apenas no token não confiável recebido.
Baixo risco quando
Os clientes públicos usam a PKCE (Proof Key for Code Exchange) como uma camada de validação secundária e quando os Manipuladores de troca de token validam estritamente as reivindicações "Emissor" e "Publicidade" do token de entrada.
Considerações de negócios e integração
Implementar isso requer um inventário claro dos tokens "Assunto" e "Ator" que estão sendo trocados para garantir que a política de segurança esteja alinhada às limitações técnicas do ambiente de chamada (browser vs. servidor).
Remediação recomendada
Desmarque "Exigir segredo para fluxo de troca de token" para evitar vazamento de segredo.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica isso como um controle crítico de "ponte de identidade", enfatizando que a segurança de uma troca de token é tão forte quanto a verificação do cliente que solicita a transação.
