O'Reilly logo
  • anderson carvalho thinks this is interesting:

Notice the way you generate the password. You need to concatenate your Salesforce password with the security token you got via e-mail. If your password was foo and the security token was bar, then the password for API access would be foobar.

From

Cover of Advanced API Security: Securing APIs with OAuth 2.0, OpenID Connect, JWS, and JWE

Note

Esse modelo permite que o usuário continue a criar uma senha pessoal, mas impede bloqueio de senha por tentativas. Isso porque o texto de segurança, individual e definido pelo emissor, tem de estar correto para que o sistema compute o erro de credencial. Isso também garante que a senha possua um nível de entropia maior, mesmo que o usuário não consiga imaginar uma melhor senha (senha forte).