Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Hvad er de almindelige krav, der findes i Azure OAuth -tokens


Hvad er de almindelige krav, der findes i Azure OAuth -tokens


Almindelige påstande, der findes i Azure Ad OAuth -tokens, inkluderer følgende:

* AUD (publikum): Dette identificerer den tilsigtede modtager af tokenet, der til Azure AD B2C er applikations -ID. Ansøgninger skal validere denne værdi for at sikre, at den matcher deres ID og afviser tokenet, hvis det ikke gør [3]. Publikum er synonymt med ressource [3].
* ISS (udsteder): Denne påstand identificerer Security Token Service (STS), der konstruerede og returnerede tokenet, og identificerer også det bibliotek, hvor brugeren blev godkendt. Ansøgninger skal validere dette krav for at sikre, at tokenet kom fra det passende slutpunkt [3].
* IAT (udstedt kl.): Dette repræsenterer den tid, hvorpå tokenet blev udstedt, i epoke tid [3].
* EXP (udløbstid): Dette indikerer det tidspunkt, hvor tokenet bliver ugyldigt, repræsenteret i epoketid. Ansøgninger skal bruge dette krav til at verificere gyldigheden af ​​token -levetiden [3].
* NBF (ikke før): Denne påstand specificerer det tidspunkt, hvor tokenet bliver gyldigt, i epoketid. Det er normalt det samme som det tidspunkt, hvor tokenet blev udstedt, og din ansøgning skal bruge denne påstand til at verificere gyldigheden af ​​token -levetiden [3].
* Ver (version): Dette indikerer versionen af ​​ID -tokenet, som defineret af Azure AD B2C [3].
* C_HASH (Code Hash): Inkluderet i et ID -token kun, når tokenet udstedes sammen med en OAuth 2.0 autorisationskode. Det kan bruges til at validere ægtheden af ​​en autorisationskode [3].
* AT_HASH (Access Token Hash): Inkluderet i et ID -token kun, når tokenet udstedes sammen med en OAuth 2.0 Access -token og bruges til at validere ægtheden af ​​adgangstoken [3].
* Nonce: En strategi, der bruges til at afbøde token -replay -angreb. Din ansøgning kan specificere en nonce i en anmodning om godkendelsesanmodning ved hjælp af den `nonce` forespørgselsparameter. Den værdi, du giver i anmodningen, udsendes umodificeret i `nonce 'påstand om et ID -token kun [3].
* Sub (emne): Dette krav repræsenterer den vigtigste, som token hævder information om, såsom brugeren af ​​en applikation. Værdien er uforanderlig og kan ikke tildeles eller genbruges. Det kan bruges til at udføre autorisationskontrol sikkert. Som standard er emnets krav befolket med brugerens objekt -id i biblioteket [3].
* ACR (Autentication Context Class Reference): Bruges kun med ældre politikker [3].
* TFP (Trust Framework Policy): Navnet på den politik, der blev brugt til at erhverve ID -tokenet [3].
* Auth \ _time: Den tid, hvor en bruger sidst indtastede legitimationsoplysninger, repræsenteret i epoke tid. Der er ingen forskelsbehandling mellem, at godkendelse er en frisk login, en enkelt sign-on (SSO) -session eller en anden login-type [3].
* SCP (rækkevidde): Dette henviser til de tilladelser, der er tildelt ressourcen for et adgangstoken. Flere tildelte tilladelser adskilles af et rum [3].
* AZP (autoriseret part): Anvendelses -ID for klientapplikationen, der indledte anmodningen [3].
* OID: Denne påstand indeholder den unikke identifikator af et objekt i Azure AD, er uforanderlig og kan ikke tildeles eller genbruges. Det kan bruges til at identificere et objekt i forespørgsler til Azure AD [1].

Citater:
)
)
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
)
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token