Salesforce连接应用配置指南：OAuth流程、ECA与安全最佳实践

sf-connected-apps by jaganpro/sf-skills

251 周安装量

219 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/jaganpro/sf-skills --skill sf-connected-apps

云服务 API 安全

🇨🇳中文介绍

sf-connected-apps：Salesforce 连接应用与外部客户端应用

当用户需要在 Salesforce 中进行 OAuth 应用配置时使用此技能：包括连接应用、外部客户端应用、JWT 持有者设置、PKCE 决策、作用域设计，或从旧的连接应用模式迁移到新的 ECA 模式。

此技能负责的任务

当工作涉及以下内容时，使用 sf-connected-apps：

.connectedApp-meta.xml 或 .eca-meta.xml 文件
OAuth 流程选择和回调 / 作用域设置
JWT 持有者认证、设备流程、客户端凭据或授权码决策
连接应用与外部客户端应用的架构选择
消费者密钥 / 密钥 / 证书处理策略

当用户进行以下操作时，请委托给其他技能：

配置命名凭据或运行时调用 → sf-integration
分析访问 / 权限策略分配 → sf-permissions
编写 Apex 令牌处理代码 → sf-apex
将元数据部署到组织 → sf-deploy

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

首要决策：连接应用还是外部客户端应用

如果需求是...	推荐
简单的单组织 OAuth 应用	连接应用
具有更好密钥处理的新开发	外部客户端应用
多组织 / 打包 / 更强的操作控制	外部客户端应用
直接的遗留兼容性	连接应用

默认指导原则：

对于新的受监管、可打包或自动化程度高的解决方案，选择 ECA
当简单性和遗留兼容性更重要时，选择 连接应用

首先需要收集的上下文信息

应用类型：连接应用还是 ECA
OAuth 流程：授权码、PKCE、JWT 持有者、设备流程、客户端凭据
客户端类型：机密客户端与公共客户端
回调 URL / 重定向地址
所需的作用域
分发模式：仅限本地组织与可打包 / 多组织
是否需要证书或密钥轮换

1. 选择应用模型

决定连接应用还是 ECA 是更好的长期选择。

2. 选择 OAuth 流程

用例	默认流程
后端 Web 应用	授权码
SPA / 移动端 / 公共客户端	授权码 + PKCE
服务器到服务器 / CI/CD	JWT 持有者
设备 / CLI 认证	设备流程
服务账户风格的应用	客户端凭据（通常为 ECA）

3. 从正确的模板开始

使用提供的资源，而不是从头开始构建：

assets/connected-app-basic.xml
assets/connected-app-oauth.xml
assets/connected-app-jwt.xml
assets/external-client-app.xml
assets/eca-global-oauth.xml
assets/eca-oauth-settings.xml
assets/eca-policies.xml

4. 应用安全加固

最小权限作用域
明确指定的回调 URL
公共客户端使用 PKCE
在适当情况下使用基于证书的认证
支持轮换的密钥 / 密钥处理
在现实可行且可维护的情况下使用 IP 限制

5. 验证部署就绪状态

在交接前，确认：

元数据文件命名正确
作用域设置合理
回调和认证模型与实际客户端类型匹配
密钥未嵌入源代码中

高价值安全规则

避免以下反模式：

反模式	失败原因
通配符 / 过于宽泛的回调 URL	令牌拦截风险
默认使用 `Full` 作用域	不必要的权限
公共客户端禁用 PKCE	代码拦截风险
将消费者密钥提交到源代码	凭据泄露
自动化场景无轮换 / 证书策略	长期运维脆弱

默认修复方向：

缩小作用域
限制回调地址
为公共客户端启用 PKCE
将密钥保留在版本控制之外
在适当情况下使用 JWT 证书或受控的密钥存储

重要的元数据说明

force-app/main/default/connectedApps/

外部客户端应用

通常涉及多个元数据文件，包括：

基础 ECA 头文件
全局 OAuth 设置
实例 OAuth 设置
可选的策略元数据

重要的文件名注意事项：

全局 OAuth 后缀是 .ecaGlblOauth，而不是 .ecaGlobalOauth

完成时，按以下顺序报告：

选择的应用程序类型
选择的 OAuth 流程
创建或更新的文件
安全决策
下一步部署 / 测试步骤

App: <名称>
Type: Connected App | External Client App
Flow: <oauth 流程>
Files: <路径>
Security: <作用域, PKCE, 证书, 密钥, IP 策略>
Next step: <部署, 获取消费者密钥, 或测试认证流程>

需求	委托给	原因
命名凭据 / 调用运行时配置	sf-integration	运行时集成设置
部署应用元数据	sf-deploy	组织验证和部署
Apex 令牌或刷新处理	sf-apex	实现逻辑
部署后的权限审查	sf-permissions	访问治理

分数	含义
80+	可用于生产的 OAuth 应用配置
54–79	可用但需要加固审查
< 54	阻止部署，直到修复

🇺🇸English

sf-connected-apps: Salesforce Connected Apps & External Client Apps

Use this skill when the user needs OAuth app configuration in Salesforce: Connected Apps, External Client Apps (ECAs), JWT bearer setup, PKCE decisions, scope design, or migration from older Connected App patterns to newer ECA patterns.

When This Skill Owns the Task

Use sf-connected-apps when the work involves:

.connectedApp-meta.xml or .eca-meta.xml files
OAuth flow selection and callback / scope setup
JWT bearer auth, device flow, client credentials, or auth-code decisions
Connected App vs External Client App architecture choices
consumer-key / secret / certificate handling strategy

Delegate elsewhere when the user is:

configuring Named Credentials or runtime callouts → sf-integration
analyzing access / permission policy assignments → sf-permissions
writing Apex token-handling code → sf-apex
deploying metadata to orgs → sf-deploy

First Decision: Connected App or External Client App

If the need is...	Prefer
simple single-org OAuth app	Connected App
new development with better secret handling	External Client App
multi-org / packaging / stronger operational controls	External Client App
straightforward legacy compatibility	Connected App

Default guidance:

choose ECA for new regulated, packageable, or automation-heavy solutions
choose Connected App when simplicity and legacy compatibility matter more

Required Context to Gather First

Ask for or infer:

app type: Connected App or ECA
OAuth flow: auth code, PKCE, JWT bearer, device, client credentials
client type: confidential vs public
callback URLs / redirect surfaces
required scopes
distribution model: local org only vs packageable / multi-org
whether certificates or secret rotation are required

Recommended Workflow

1. Choose the app model

Decide whether a Connected App or ECA is the better long-term fit.

2. Choose the OAuth flow

Use case	Default flow
backend web app	Authorization Code
SPA / mobile / public client	Authorization Code + PKCE
server-to-server / CI/CD	JWT Bearer
device / CLI auth	Device Flow
service account style app	Client Credentials (typically ECA)

3. Start from the right template

Use the provided assets instead of building from scratch:

assets/connected-app-basic.xml
assets/connected-app-oauth.xml
assets/connected-app-jwt.xml
assets/external-client-app.xml
assets/eca-global-oauth.xml
assets/eca-oauth-settings.xml
assets/eca-policies.xml

4. Apply security hardening

Favor:

least-privilege scopes
explicit callback URLs
PKCE for public clients
certificate-based auth where appropriate
rotation-ready secret / key handling
IP restrictions when realistic and maintainable

5. Validate deployment readiness

Before handoff, confirm:

metadata file naming is correct
scopes are justified
callback and auth model match the real client type
secrets are not embedded in source

High-Signal Security Rules

Avoid these anti-patterns:

Anti-pattern	Why it fails
wildcard / overly broad callback URLs	token interception risk
`Full` scope by default	unnecessary privilege
PKCE disabled for public clients	code interception risk
consumer secret committed to source	credential exposure
no rotation / cert strategy for automation	brittle long-term ops

Default fix direction:

narrow scopes
constrain callbacks
enable PKCE for public clients
keep secrets outside version control
use JWT certificates or controlled secret storage where appropriate

Metadata Notes That Matter

Connected App

Usually lives under:

force-app/main/default/connectedApps/

External Client App

Typically involves multiple metadata files, including:

base ECA header
global OAuth settings
instance OAuth settings
optional policy metadata

Important file-name gotcha:

the global OAuth suffix is .ecaGlblOauth, not .ecaGlobalOauth

Output Format

When finishing, report in this order:

App type chosen
OAuth flow chosen
Files created or updated
Security decisions
Next deployment / testing step

Suggested shape:

App: <name>
Type: Connected App | External Client App
Flow: <oauth flow>
Files: <paths>
Security: <scopes, PKCE, certs, secrets, IP policy>
Next step: <deploy, retrieve consumer key, or test auth flow>

Cross-Skill Integration

Need	Delegate to	Reason
Named Credential / callout runtime config	sf-integration	runtime integration setup
deploy app metadata	sf-deploy	org validation and deployment
Apex token or refresh handling	sf-apex	implementation logic
permission review after deployment	sf-permissions	access governance

Reference Map

Start here

Migration / examples

Score Guide

Score	Meaning
80+	production-ready OAuth app config
54–79	workable but needs hardening review
< 54	block deployment until fixed

Weekly Installs

251

Repository

jaganpro/sf-skills

GitHub Stars

219

First Seen

Jan 22, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

codex243

cursor242

opencode241

gemini-cli240

github-copilot237

amp235

Azure 升级评估与自动化工具 - 轻松迁移 Functions 计划、托管层级和 SKU

68,100 周安装