U bent hier:
Beveiliging: Op JWT (JSON Web Token) gebaseerde toegangstokens voor benoemde gebruikers uitgeven
Met deze beveiligingsinstelling wordt de Salesforce-autorisatieserver overgezet van het uitgeven van ondoorzichtige, op verwijzingen gebaseerde toegangstokens naar het uitgeven van zelfstandige, cryptografisch ondertekende JSON-webtokens.
Controlenaam
Externe clientapps: Beveiliging: Op JWT (JSON Web Token) gebaseerde toegangstokens uitgeven voor benoemde gebruikers
Aanbevolen configuratie
Geef op JWT (JSON Web Token) gebaseerde toegangstokens uit voor bij naam genoemde gebruikers.
Overzicht van besturingselementen
Met deze beveiligingsinstelling wordt de Salesforce-autorisatieserver overgezet van het uitgeven van ondoorzichtige, op verwijzingen gebaseerde toegangstokens naar het uitgeven van zelfstandige, cryptografisch ondertekende JSON-webtokens die gebruikersidentiteit en machtigingsclaims bevatten.
Beveiligingsrisico indien niet geconfigureerd
Wanneer dit niet is ingeschakeld, moeten externe systemen een stateful aanroep uitvoeren naar het Salesforce-introspectie-eindpunt voor elk verzoek om de geldigheid van tokens te verifiëren, wat de latentie vergroot en een afhankelijkheid creëert van realtime beschikbaarheid voor autorisatie.
Dreigingsscenario's
Een externe-resourceserver kan niet onafhankelijk de integriteit of het bereik van een verouderd ondoorzichtig token verifiëren tijdens een netwerkpartitie, wat kan leiden tot een totale uitval van de service of de potentiële verwerking van ongeautoriseerde verzoeken als fail-open logica niet correct is geïmplementeerd.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Vertrouwen op ondoorzichtige tokens in sterk gedistribueerde architecturen leidt tot meer verwerkingsoverhead en beperkt het vermogen van externe microservices om verfijnde, gelokaliseerde autorisatiecontroles uit te voeren op basis van standaard JWT-claims.
Hoger risico wanneer
Het risico is groter in omgevingen met groot volume en meerdere clouds, waar de latentie van constante back-channel introspectie-aanroepen de prestaties van toepassingen kan verminderen en de autorisatieserver kan blootstellen aan denial-of-service-omstandigheden.
Laag risico wanneer
Het scenario is een lager risico voor eenvoudige, monolithische integraties waarbij de resourceserver en de autorisatieserver zich binnen hetzelfde vertrouwde netwerk bevinden en de overhead van tokenintrospectie te verwaarlozen is.
Overwegingen bij bedrijf en integratie
Het inschakelen van op JWT gebaseerde tokens verbetert de compatibiliteit met moderne API-gateways en off-platform services die gestandaardiseerde, stateless tokens vereisen, maar deze systemen moeten openbare sleutels beheren voor handtekeningverificatie.
Aanbevolen oplossing
Ga naar de OAuth-instellingen van de Externe client-app en schakel het selectievakje in om op JWT (JSON Web Token) gebaseerde toegangstokens uit te geven aan benoemde gebruikers.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het gebruik van op JWT gebaseerde toegangstokens als een verplichte standaard voor moderne, interoperabele architecturen, zodat identiteits- en autorisatiegegevens staatloos kunnen worden geverifieerd binnen diverse technologiestacks.
