Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Wat zijn de gewone claims in Azure Oauth -tokens


Wat zijn de gewone claims in Azure Oauth -tokens


Gemeenschappelijke claims gevonden in Azure Ad Oauth -tokens omvatten het volgende:

* AUD (publiek): dit identificeert de beoogde ontvanger van het token, dat, voor Azure AD B2C, de applicatie -ID is. Toepassingen moeten deze waarde valideren om ervoor te zorgen dat deze overeenkomt met hun ID en het token afwijzen als dit niet het geval is [3]. Het publiek is synoniem met resource [3].
* ISS (emittent): deze claim identificeert de beveiligingstokenservice (STS) die het token heeft geconstrueerd en geretourneerd, en identificeert ook de map waar de gebruiker is geverifieerd. Toepassingen moeten deze claim valideren om ervoor te zorgen dat het token uit het juiste eindpunt kwam [3].
* IAT (uitgegeven op): dit vertegenwoordigt het tijdstip waarop het token werd uitgegeven, in tijdperiode [3].
* Exp (vervaltijd): dit geeft de tijd aan waarop het token ongeldig wordt, weergegeven in tijdperiode. Toepassingen moeten deze claim gebruiken om de geldigheid van de sympathie van de token te verifiëren [3].
* NBF (niet eerder): deze claim geeft het tijdstip aan waarop het token geldig wordt, in tijdperiode. Het is meestal hetzelfde als de tijd dat het token is uitgegeven, en uw aanvraag moet deze claim gebruiken om de geldigheid van de token -levensduur te verifiëren [3].
* ver (versie): dit geeft de versie van het ID -token aan, zoals gedefinieerd door Azure AD B2C [3].
* c_hash (code hash): alleen opgenomen in een ID -token wanneer het token wordt uitgegeven samen met een OAuth 2.0 -autorisatiecode. Het kan worden gebruikt om de authenticiteit van een autorisatiecode te valideren [3].
* AT_HASH (Access Token Hash): alleen opgenomen in een ID -token wanneer het token samen met een OAuth 2.0 Access Token wordt uitgegeven en gebruikt om de authenticiteit van een toegangstoken te valideren [3].
* Nonce: een strategie die wordt gebruikt om de herhalingsaanvallen van token te verminderen. Uw toepassing kan een nonce in een autorisatieverzoek opgeven met behulp van de parameter 'nonce' -query. De waarde die u in het verzoek verstrekt, wordt niet gemodificeerd in de 'nonce' -claim van een ID -token alleen [3].
* Sub (onderwerp): Deze claim vertegenwoordigt de directeur waarover het token informatie beweert, zoals de gebruiker van een applicatie. De waarde is onveranderlijk en kan niet opnieuw worden toegewezen of hergebruikt. Het kan worden gebruikt om autorisatiecontroles veilig uit te voeren. Standaard wordt de onderwerpclaim gevuld met de object -ID van de gebruiker in de map [3].
* ACR (Referentie van Authentication Context Class): alleen gebruikt met ouder beleid [3].
* TFP (Trust Framework Policy): de naam van het beleid dat werd gebruikt om het ID -token te verwerven [3].
* Auth \ _time: het tijdstip waarop een gebruiker voor het laatst inloggegevens heeft ingevoerd, vertegenwoordigd in Epoch Time. Er is geen discriminatie tussen die authenticatie als een nieuwe aanmelding, een enkele aanmelding (SSO) sessie of een ander aanmeldingstype [3].
* SCP (scope): dit verwijst naar de toestemmingen die aan de bron zijn verleend voor een toegangstoken. Meerdere verleende machtigingen worden gescheiden door een ruimte [3].
* AZP (geautoriseerde partij): de aanvraag -ID van de clienttoepassing die het verzoek heeft geïnitieerd [3].
* OID: deze claim bevat de unieke identificatie van een object in Azure -advertentie, is onveranderlijk en kan niet opnieuw worden toegewezen of hergebruikt. Het kan worden gebruikt om een ​​object te identificeren in vragen naar Azure AD [1].

Citaten:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-toks-can-be-safely-used-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info- that-i-dughowd-be would-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/token-overview.md
[4] https://www.descope.com/blog/post/noAuth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token