Obyčejná tvrzení nalezená v tokenech Azure ad oauth zahrnují následující:
* AUD (publikum): Tím se identifikuje zamýšleného příjemce tokenu, který je pro Azure AD B2C ID aplikace. Aplikace by měly tuto hodnotu ověřit, aby se zajistilo, že odpovídá jejich ID a odmítne token, pokud to není [3]. Publikum je synonymem pro zdroje [3].
* ISS (emitent): Toto tvrzení identifikuje službu bezpečnostních tokenů (STS), která konstruovala a vrátila token, a také identifikuje adresář, kde byl uživatel ověřen. Aplikace by měly tento nárok ověřit, aby zajistilo, že token pochází z příslušného koncového bodu [3].
* IAT (vydané na): To představuje dobu, kdy byl token vydán, v epochě [3].
* EXP (čas vypršení platnosti): To označuje čas, ve kterém se token stává neplatným, reprezentovaným v epochém čase. Aplikace by měly tento nárok použít k ověření platnosti životnosti tokenu [3].
* NBF (ne dříve): Toto tvrzení určuje čas, ve kterém se token stává platným, v epochě. Obvykle je to stejné jako v době, kdy byl vydán token, a vaše žádost by měla tento nárok použít k ověření platnosti životnosti tokenu [3].
* ver (verze): To označuje verzi tokenu ID, jak je definováno Azure AD B2C [3].
* C_HASH (kód hash): Zahrnut do tokenu ID pouze tehdy, když je token vydán společně s autorizačním kódem OAuth 2.0. Může být použit k ověření autentičnosti autorizačního kódu [3].
* AT_HASH (Access Token Hash): Zahrnuto do tokenu ID pouze tehdy, když je token vydán společně s přístupovým tokenem OAuth 2.0 a použito k ověření autentičnosti přístupového tokenu [3].
* nonce: Strategie používaná ke zmírnění útoků na přehrávání tokenů. Vaše aplikace může zadat NOCE v žádosti o autorizaci pomocí parametru „nonce“. Hodnota, kterou v žádosti poskytnete, je emitována nemodifikována pouze v tvrzení „nonce“ pouze tokenu ID [3].
* Sub (předmět): Toto tvrzení představuje ředitele, o kterém token uplatňuje informace, jako je uživatel aplikace. Hodnota je neměnná a nelze ji přidělit nebo znovu použít. Lze jej použít k bezpečnému provádění kontrol autorizace. Ve výchozím nastavení je nárok na subjekt naplněn ID objektu uživatele v adresáři [3].
* ACR (Reference třídy kontextu ověřování): Používá se pouze se staršími zásadami [3].
* TFP (politika Trust Framework): Název politiky, která byla použita k získání tokenu ID [3].
* Auth \ _time: Čas, ve kterém uživatel naposledy zadal pověření, zastoupené v epochě. Neexistuje žádná diskriminace mezi tímto ověřením, že je čerstvá přihlášení, jediná relace přihlášení (SSO) nebo jiný typ přihlášení [3].
* SCP (rozsah): Toto odkazuje na oprávnění udělená zdroji pro přístupový token. Vícenásobná udělená oprávnění jsou oddělena prostorem [3].
* AZP (autorizovaná strana): ID přihlášky klientské aplikace, která zahájila žádost [3].
* OID: Toto tvrzení obsahuje jedinečný identifikátor objektu v Azure AD, je neměnný a nelze jej přidělit nebo znovu použít. Může být použit k identifikaci objektu v dotazech na Azure AD [1].
Citace:
[1] https://stackoverflow.com/questions/40972416/what-jwt-taims-from-azure-ad-tokens-c-be-Safely-Fised-for-User-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-THAT-I- WOUTHER-in-ID-token-and--Vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-taims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-wen-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-caims-reference
[8] https://www.descope.com/blog/post/access-ts-refresh-token