在不同的 Salesforce 之间，我们可以使用基于 JSON web token（简称 JWT）的验证方式进行 REST 通信。本文就举例说明如何实现。

准备工作

首先假设两个 Salesforce 系统（A、B）的域名分别是：

• https://A.salesforce.com
• https://B.salesforce.com

在系统 A 中定义了 REST 方法，我们要从系统 B 中调用此方法。

建立用户

我们需要在系统 A 中建立一个用户，在系统 B 中调用 REST 方法时，需要这个用户名。

我们在系统 A 中建立一个用户名为 “testuser@example.com.sf” 的用于，“简档”设定为“标准用户”。

建立 REST POST 方法

在系统 A 中建立 REST 类，包括一个 POST 方法，里面的逻辑很简单。

@RestResource( urlMapping='/jwtrest' )
global with sharing class Jwt_Rest_Example {
    @HttpPost
    global static void doPost() {
        RestRequest req = RestContext.request;
        RestResponse res = RestContext.response;

        String body = req.requestBody.toString();

        // 一些其他的逻辑
        // ...

        res.addHeader('Content-Type', 'application/json');
        res.responseBody = Blob.valueOf( 'Success!' );
        res.statusCode = 200;
        return;
    }
}

建立证书

在两个 Salesforce 系统中进行通信可以通过多种方法实现。数字证书是其中一种。

这里我们以“自签名证书”为例。

在系统 B 中，在“设置”界面进入“证书和密钥管理”页面。点击“创建自签名证书”然后创建一个自签名证书。证书名为 “CertTest”。

在证书的详细页面点击“下载证书”按钮下载证书文件 “CertTest.crt”。

这个证书将会被用于系统 A 和 B 之间通信的凭证。

建立连接应用程序（Connected App）

在系统 A 的“设置”界面中进入“应用程序管理器”页面，点击“新连接的应用程序”按钮，新建一个名为 “JwtTestApp” 的程序。

勾选选项“启用 OAuth 设置”。

在“回拨 URL”中填入默认的 URL，比如：https://login.salesforce.com/services/oauth2/callback。

勾选“使用数字签名”选项，然后上传刚才下载的证书文件 “CertTest.crt”。

在“选定的 OAuth 范围”中，选择“访问和管理数据 (api)”、“随时代表您执行请求 (refresh_token, offline_access)”和“提供通过 Web 访问数据的权限 (web)”。

保存。

在应用程序的详细页面，点击“管理”按钮，进入权限管理。

点击“编辑策略”按钮，将“允许的用户”选项改为“管理员批准的用户为预先授权”，保存。

回到“管理”页面，在“简档”部分点击“管理简档”按钮，选择“标准用户”。这一步是设置上面建立的用户对于这个连接应用程序进入的权限。

建立“远程站点设置”

要想从系统 B 调用系统 A 中的 REST 函数，需要在系统 B 的“远程站点设置”中添加系统 A 的 URL。

在系统 B 的“设置”界面进入“远程站点设置”页面，点击“新建远程站点”按钮，在“远程站点 URL”中输入系统 A 的 URL：https://A.salesforce.com/。

于此同时，要添加另一个 URL：https://login.salesforce.com/services/oauth2/token。这个 URL 将会被我们用来获取 JTW 的令牌。

利用 Apex 的 JWT 相关类得到 JWT 的令牌

现在我们可以从 B 中使用 Apex 中和 JWT 相关的类来获取 JWT 的令牌，然后使用令牌调用 REST 函数。

相关的 Apex 文档可以参考这里。

我们利用“匿名 Apex”来进行测试。

代码如下：

Auth.JWT jwt = new Auth.JWT();

jwt.setSub('testuser@example.com.sf'); // 这是刚才建立的用户的用户名

jwt.setAud('https://login.salesforce.com'); // 如果是沙盒环境，则把 login 换为 test

jwt.setIss('XXXXX'); // 这里需要将 XXXXX 换为系统 A 中建立的连接应用程序的“客户键”（Consumer Key）

Auth.JWS jws = new Auth.JWS(jwt, 'CertTest'); // 使用刚才建立的证书的名字作为参数

String token = jws.getCompactSerialization();

String tokenEndpoint = 'https://login.salesforce.com/services/oauth2/token'; // 如果是沙盒环境，则把 login 换为 test

Auth.JWTBearerTokenExchange bearer = new Auth.JWTBearerTokenExchange(tokenEndpoint, jws);

String accessToken = bearer.getAccessToken(); // 得到令牌

当我们得到令牌以后，不能使用 System.debug() 函数来显示，这是 Salesforce 中默认的对于安全的限制。

我们可以在上面的“匿名 Apex”代码中继续调用系统 A 的 REST 函数，代码如下：

Http http = new Http();
HttpRequest request = new HttpRequest();

request.setEndpoint('https://A.salesforce.com/services/apexrest/jwtrest'); // 这里使用了刚才建立的系统 A 中的 REST 方法
request.setMethod('POST');
request.setHeader('Content-Type', 'application/json;charset=UTF-8');
request.setHeader('Authorization', 'Bearer ' + accessToken); // 在 header 部分将刚才得到的 JWT 令牌作为权限验证的一部分

request.setBody('{"test":"test"}');

HttpResponse response = http.send(request);

if (response.getStatusCode() != 201) {
    System.debug('The status code returned was not expected: ' +
        response.getStatusCode() + ' ' + response.getStatus());
} else {
    System.debug(response.getBody());
}

以上就是使用 JTW 令牌让两个 Salesforce 系统进行 REST 通信的例子。