您在此处:
API(启用 OAuth 设置):安全令牌交换流
此控制确定客户端应用程序是否必须在将第三方令牌交换为 Salesforce 访问令牌时提供密码。
控件名称
连接的应用程序:API(启用 OAuth 设置):安全令牌交换流
推荐配置
启用令牌交换流。设置为不需要令牌交换流的密码。
控制概览
此控制确定客户端应用程序是否必须在将第三方令牌(例如来自外部身份提供商的 ID 令牌)交换为 Salesforce 访问令牌时提供密码,特别是允许公共客户端在无法安全存储凭据时绕过此要求。
安全风险(如果未配置)
如果公共客户端错误地需要密码,开发人员被迫将敏感凭据硬编码到前端代码中,以便获取它们。相反,如果不要求专用客户端这样做,未经授权的服务器就可以在不证明其身份的情况下执行交换。
威胁场景
攻击者从公共移动应用程序的二进制中提取硬编码客户端密码,或拦截外部身份令牌,并成功将其“交换”给 Salesforce 会话,因为端点不需要后端密码来验证请求。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
错误配置此设置会导致客户端凭据的系统暴露,或启用“令牌跳转”,其中被盗用的外部身份很容易转换为持续的 Salesforce 访问权限。
高风险
令牌交换处理器配置了广泛的“自动配置”逻辑,它仅根据传入的不可信令牌来创建新用户,并具有广泛的权限。
低风险
公共客户端使用 PKCE(代码交换验证密钥)作为辅助验证层,以及当令牌交换处理器严格验证传入令牌的“发行人”和“受众”声明时。
业务和集成注意事项
实现这一点需要清晰地列出交换哪些“主题”和“操作者”令牌,以确保安全策略符合调用环境的技术限制(浏览器与服务器)。
建议的补救措施
取消选择“需要令牌交换流的密码”,以防止密码泄露。
安全健康审查指导
安全健康审查将此确定为关键的“身份桥接”控制,并强调令牌交换的安全性仅与请求交易的客户端的验证一样强。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
