Salesforce Integration - OAuth2.0 JWT Bearer Flow

已于 2022-10-18 18:33:46 修改
阅读量937 收藏
点赞数
分类专栏: Salesforce Experience 文章标签: JWT OAuth2.0
于 2022-06-16 15:36:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itsme_web/article/details/125315257
版权

应用场景

  1. Salesforce作为Service Provider (SP),外部系统需要访问Salesforce数据;
  2. 在授权过程中无需通过UI Login页面输入账密;
  3. 不希望外部系统储存账密等可直接用于UI Login的信息;

前置条件

  1. 使用证书对JWT请求进行签名;
  2. 需要事先获得SP的批准;

案例设计

目标

通过JWT授权方式获取access_token,然后使用access_token call Salesforce API访问数据。
在这里插入图片描述

前提假设

  1. 使用openSSL形式本地获取server.crt (public key)和server.key (private key),然后上传到Connected App与Certificate and Key Management提供安全保障;
  2. 使用JWTBearerTokenExchange class来获取access_token;
  3. 为方便Demo,假设使用同一个Org进行自己调自己API;

关键步骤

#1. 通过openSSL获取下面4个文件:
在这里插入图片描述
#2 将server.crt上传到Connected App:
在这里插入图片描述
#3. 将本地的server.crtserver.key通过terminal转化成JKS File,然后修改keystore的Alias name,最后在Certificate and Key Management通过Import from Keystore将JKS File保存到Certificates相关列表。
在这里插入图片描述
可通过下面命令转JKS File:

# 根据公钥和私钥生成server.p12
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
# 根据server.p12生产jwt_apex.jks
keytool -importkeystore -srckeystore server.p12
        -srcstoretype PKCS12
        -destkeystore jwt_apex.jks
        -deststoretype JKS
# 修改keystore的默认alias name (默认是1)
keytool -keystore jwt-apex.jks -changealias -alias 1 -destalias jwt_apex
# 检查alias name是否修改正确
keytool -list -v -keystore jwt_apex.jks

# update on 2022-10-18 一行命令解决上面多行命令
keytool -importkeystore \
        -srckeystore ./gcp-logging-api-service-accounts.p12 \
        -srcstoretype PKCS12 \
        -srcalias privatekey \
        -srcstorepass notasecret \
        -destkeystore gcp-logging-api-service-accounts.jks \
        -deststoretype JKS \
        -destalias gcp_logging_api_cert \
        -deststorepass notasecret

为什么要修改alias name,以及alias name上传为Certificate时,有什么格式要求?

In order to successfully use “Import from Keystore” feature available at “Certificate and Key Management”, the ‘alias’ of the certificates within .JKS file must meet following criteria:
“The name must begin with a letter and use only alphanumeric characters and underscores. The name cannot end with an underscore or have two consecutive underscores.”

#4. 编写JWTApex.cls获取access_token:

public class JWTApex{
    /*
     * JWTApex.getAccessToken('https://login.salesforce.com/services/oauth2/token', 
      						  'test@sample.com', 
      						  '3MVG9pRzaMkjMb6nq5_7vWB7bzj1AvzgpqUcBl0jDx6HcCZKgL5Ck.8WO2aexmvmyF2QrpGG7YHVYw2mEQqqF', 
     						  'jwt_apex');
	* Setup->Security->Remote site settings. endpoint = https://login.salesforce.com/services/oauth2/token
	*/
    public static String getAccessToken(String login_url, String username, String client_id, String certname) {      
        Auth.JWT jwt = new Auth.JWT();
        jwt.setSub(username); 
        jwt.setAud(login_url); 
        jwt.setIss(client_id);
        
        //Additional claims to set scope
        Map<String, Object> claims = new Map<String, Object>();
        claims.put('scope', 'scope name');
        
        jwt.setAdditionalClaims(claims);
        
        //Create the object that signs the JWT bearer token
        Auth.JWS jws = new Auth.JWS(jwt, certname);
        
        //Get the resulting JWS in case debugging is required
        String token = jws.getCompactSerialization();
        
        //POST the JWT bearer token
        Auth.JWTBearerTokenExchange bearer = new Auth.JWTBearerTokenExchange(jwt.getAud(), jws);
        
        //Return access token
        return bearer.getAccessToken();
    }
}

此处需做2点说明:

  1. 通过System.debug无法获取明文access_token;
  2. 需要将tokenEndpoint添加到Remote site settings;

#5. 验证JWT获取的access_token是否可以自call SP的API:

public class JWTVerify {
    /*
     * JWTVerify.getInfoByServiceAPI('/appMenu/AppSwitcher/');
	*/
    public static void getInfoByServiceAPI(String service) {
        String token = JWTApex.getAccessToken('https://login.salesforce.com/services/oauth2/token', 
      						  				  'test@sample.com', 
      						  				  '3MVG9pRzaMkjMb6nq5_7vWB7bzj1AvzgpqUcBl0jDx6HcCZKgL5Ck.8WO2aexmvmyF2QrpGG7YHVYw2mEQqqF', 
     						  				  'jwt_apex');
        Http http = new Http();
        HttpRequest request = new HttpRequest();
        // without Auth: [{"message":"Session expired or invalid","errorCode":"INVALID_SESSION_ID"}]
        request.setHeader('Authorization', 'Bearer ' + token);
        request.setEndpoint('https://pkg-instance1-dev-ed.my.salesforce.com/services/data/v55.0' + service);
        request.setMethod('GET');
        HttpResponse response = http.send(request);
        
        System.debug(response.getBody());
    }
}

心得体会

  1. 如果我们使用两个Salesforce Org来验证Salesforce JWT授权方式会更加make sense;
  2. 关键步骤#4中使用的是官方的sample code,这种方式🉑️明文打印access_token,🉑️通过临时access_token在postman中做API调试;
  3. 这里强哥提供了另一种思路sample code
  4. 如果是Salesforce Org之间想通过JWT授权,不妨使用Named Credentials方式;

小工具

JWT.IO allows you to decode, verify and generate JWT
https://jwt.io/

参考文档

  1. OAuth 2.0 JWT Bearer Flow for Server-to-Server Integration
  2. JWTBearerTokenExchange Class
  3. Oauth Authorization flows in Salesforce
  4. How to convert crt and key to jks file
Salesforce Oauth2.0详解及工具
None的博客
07-24 1965
前言 在Salesforce项目中,很多地方涉及到Integration,除标准的Integration之外,还有许多Custom Integration(Rest/Soap)。那么在Custom中,我们如何保障数据安全或者说如何保障连入Salesforce的接口是经过安全验证的呢?在这里Salesforce提供了标准的Oauth2.0实现方案,也就是说我们通过在Integration
用Springboot(java程序)访问Salesforce RestAPI(通过JWT认证)
最新发布
08-31 972
通过JWT认证方式,实现Java代码访问Salesforce数据。如何做数字证书,做ConnectedApp,做JWT的详细步骤。
Oauth2.0认证:salesforce Oauth2.0接入实例
weixin_38370441的博客
11-10 1003
文章目录参考文档Postman接入实例 参考文档 SF Oauth2.0:https://help.salesforce.com/s/articleView?id=sf.remoteaccess_oauth_web_server_flow.htm&language=zh_CN&r=https%3A%2F%2Fwww.google.com.hk%2F&type=5 SF postman:https://www.postman.com/salesforce-developers/work
Salesforce Force.com Site 集成微信公众平台 (七) OAuth 2.0
PJ老文的博客
03-22 818
OAuth 是一个开放协议,用户允许第三方应用以安全且标准的方式获取该用户在某一网站上存储的私密资源,而无须将用户名和密码提供给第三方应用。接下来将介绍 OAuth 协议在微信里的具体实现。 OAuth 2.0 协议介绍 OAuth 2.0OAuth 协议的下一版本,但不向后兼容 OAuth 1.0OAuth 2.0 关注客户端开发者的简易性,同时为 Web 应用,桌面应用和手机,起...
oauth2-salesforce:OAuth 2.0 客户端的 Salesforce 提供商
05-30
OAuth 2.0 客户端的 Salesforce 提供商 该软件包为PHP League的提供了Salesforce OAuth 2.0支持。 安装 要安装,请使用 Composer: composer require stevenmaguire/oauth2-salesforce 用法 用法与 The League 的 OAuth 客户端相同,使用\Stevenmaguire\OAuth2\Client\Provider\Salesforce作为提供者。 授权码流程 $ provider = new Stevenmaguire \ OAuth2 \ Client \ Provider \ Salesforce ([ 'clientId' => '{salesforce-client-id}' , 'clientSecret' => '
salesforce rest api 登录 | Authenticating to Salesforce using REST, OAuth 2.0 and Java
woshizoe的专栏
08-27 1735
http://www.cnblogs.com/yqskj/archive/2013/06/14/3135655.html This tutorial will show you how you can authenticate to Salesforce using RESTful services. Configure remote access in Salesforce
实现OAuth 2.0 JWT Bearer令牌流程的axios-jwt-flow
总的来说,axios-jwt-flow是一个专门为Node.js环境设计的库,专注于解决通过JWT获取OAuth 2.0访问令牌的场景,使得开发者能够更高效地处理授权流程,特别是在与Salesforce集成时。它结合了axios的现代HTTP客户端特性...
axios-jwt-flow
05-10
该库使用axios来构建http rest客户端,该客户端支持使用JWT Bearer令牌流来获取oauth2.0访问令牌,并自动将授权标头插入请求中。 该库旨在与我的自定义Salesforce apex rest终结点一起使用,并且极有可能无法与...
Spring Cloud 微服务中搭建 OAuth2.0 认证授权服务
javaQQ561487941的博客
12-11 1145
在使用 Spring Cloud 体系来构建微服务的过程中,用户请求是通过网关(ZUUL 或 Spring APIGateway)以 HTTP 协议来传输信息,API 网关将自己注册为 Eureka 服务治理下的应用,同时也从 Eureka 服务中获取所有其他微服务的实例信息。搭建 OAuth2 认证授权服务,并不是给每个微服务调用,而是通过 API 网关进行统一调用来对网关后的微服务做前置过滤,...
掌握SalesforceJWT OAuth流程:脚本和步骤详解
资源摘要信息:"Salesforce-jwt-generator是一个工具,用于在Salesforce平台上实现JWT(JSON Web Token)OAuth流程。在Salesforce中使用JWT OAuth流程可以让开发者通过编程方式实现用户认证,适用于那些希望使用JWT...
sfcc_jwt:Salesforce Commerce Cloud(需求软件)插件支持JWT编码和解码
05-23
sfcc_jwt Salesforce Commerce Cloud SFRA的的实现。 安装 在服务器上安装盒式磁带并将其添加到盒式磁带路径。 用法 jwt.sign(有效载荷,选项) 返回JsonWebToken作为字符串。 payload是表示有效JSON的对象文字。 options : privateKeyOrSecret是一个字符串,其中包含HMAC算法的秘密或RSA的私钥。 algorithm HS256,RS256或类似的 kid 用HMAC SHA256登录 var jwt = require ( 'plugin_jwt' ) ; var options = { } ; options . privateKeyOrSecret = 'my_secret' ; options . algorithm = 'HS256' ; var token = jwt .
salesforce-jwt-generator:在Salesforce中使用JWT OAuth流程的脚本和步骤
05-26
salesforce-jwt-generator 使用JWT OAuth Flow要求您执行以下操作: 生成公钥/私钥对 创建一个连接的应用程序 生成一个使用私钥对其进行签名的JWTJWT交换为访问令牌 将访问令牌用作承载令牌 下面是上述每个步骤的一部分。 生成公钥/私钥对 使用openssl生成公用/专用密钥对,并在生成证书时填写所需的信息。 openssl req -newkey rsa:2048 -nodes -keyout private_key.pem -x509 -days 365 -out certificate.pem openssl x509 -outform der -in certificate.pem -out public_key.der openssl x509 -in certificate.pem -pubkey > public_key.pe
salesforce-react-integration:Salesforce和React.js应用程序之间的示例集成项目
05-06
Salesforce React.js集成 关于 Salesforce和React.js应用程序之间的示例集成项目。 此应用程序演示以下概念: 使用作为Salesforce客户端 使用OAuth 2.0进行身份验证(登录,注销,获取会话信息) 使用REST API运行SOQL查询 在Web应用程序中使用(SLDS)(所有CSS由SLDS提供) 安装 在Salesforce中创建一个。 使用以下内容在根目录中创建一个.env文件(请确保替换值): domain='https://login.salesforce.com'\ncallbackUrl='http://localhost:8080/auth/callback'\nconsumerKey='YOUR_CLIENT_KEY'\nconsumerSecret='YOUR_CLIENT_SECRET' apiVersion='48.0
salesForce-基本概念
10-21
salesForce-基本概念
JWT- salesforce to salesforce
weixin_42300325的博客
04-19 219
Scenario : Org A use JWT call Org B API. Official docs about OAuth 2.0 JWT Server to Server intergation: Help And Training Community Step of salesforce to salesforce JWT Oauth flow: 1: In Org A, Navergate to 'Certificate and Key Management' then crea
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4443
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
如何通过OAuth2.0认证方式建立ServiceNow与Salesforce通信
weixin_34161083的博客
09-04 947
获取Salesforce的Client ID和Client Secret在salesforce页面中找到Stepup>Build>Create>Apps,在Connected Apps处点New为自己的SN添加链接。Consumer Key和Consumer Secret即是Client ID和Client Secret。注意:Callback URL必须设置。即https:/...
什么是JWTOAuth2以及Bearer Token基本解析
NZXHJ的博客
07-27 4250
什么是JWTOAuth2以及Bearer Token基本解析
OAuth 2.0 + JWT 保护API安全
保持初心 保持好奇
06-09 1860
目录OAuth 2.0 是什么OAuth 2.0 协议流程OAuth 2.0 的4种授权方式JWT(JSON Web Token)JWT是什么?JWT解决了什么问题?Spring Cloud Security + OAuth 2.0 + JWT的应用应用访问安全性基本都是围绕认证(Authentication)和授权(Authorization)两大核心概念。首先确定用户身份(对用户进行认证),确认身份后再确定用户是否有访问指定资源的权限,即身份认证是验证身份的过程,而授权是验证是否有权访问的过程。举个例子
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值