Você está aqui:
Segurança: Emitir tokens de acesso baseados em JSON Web Token (JWT) para usuários nomeados
Essa configuração de segurança muda o servidor de autorização do Salesforce de emitir tokens de acesso opacos e baseados em referência para emitir tokens da Web JSON assinados criptograficamente independentes.
Nome do controle
Aplicativos cliente externos: Segurança: Emitir tokens de acesso baseados em Token da Web JSON (JWT) para usuários nomeados
Configuração recomendada
Emita tokens de acesso baseados em Token da Web JSON (JWT) para usuários nomeados.
Visão geral de controle
Essa configuração de segurança muda o servidor de autorização do Salesforce de emitir tokens de acesso opacos e baseados em referência para emitir tokens da Web JSON independentes assinados por criptografia que incluem solicitações de permissão e identidade do usuário.
Risco de segurança, se não configurado
Quando isso não está habilitado, os sistemas externos devem realizar uma chamada de estado ao ponto de extremidade de introspecção do Salesforce para cada solicitação para verificar a validade do token, o que aumenta a latência e cria uma dependência da disponibilidade em tempo real para autorização.
Cenários de ameaça
Um servidor de recurso externo não pode verificar de modo independente a integridade ou o escopo de um token opaco legado durante uma partição de rede, levando a uma interrupção total do serviço ou ao processamento potencial de solicitações não autorizadas se a lógica de abertura de falha for implementada incorretamente.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A dependência de tokens opacos em arquiteturas altamente distribuídas resulta em maior sobrecarga de processamento e limita a capacidade de microsserviços externos realizar verificações de autorização localizadas e detalhadas com base em declarações JWT padrão.
Risco maior quando
O risco é maior em ambientes de vários nuvens de alto volume em que a latência de chamadas de introspecção de canal reverso constante pode reduzir o desempenho do aplicativo e expor o servidor de autorização a condições de recusa de serviço.
Baixo risco quando
O cenário é menor risco para integrações monolíticas simples em que o servidor de recurso e o servidor de autorização residem na mesma rede confiável e a sobrecarga da introspecção de token é negligenciável.
Considerações de negócios e integração
Habilitar tokens baseados em JWT melhora a compatibilidade com gateways de API modernos e serviços fora da plataforma que exigem tokens padronizados sem estado, mas exige que esses sistemas gerenciem chaves públicas para verificação de assinatura.
Remediação recomendada
Acesse as configurações do OAuth do aplicativo cliente externo e marque a caixa de seleção para emitir tokens de acesso baseados em Token da Web JSON (JWT) para usuários nomeados.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o uso de tokens de acesso baseados em JWT como um padrão obrigatório para arquiteturas modernas e interoperáveis, de modo que os dados de identidade e autorização possam ser verificados sem estado em várias pilhas de tecnologia.
