Azure AD OAuth -merkinnöissä löydetyt yleiset väitteet sisältävät seuraavat:
* AUD (yleisö): Tämä tunnistaa merkinnän suunnitellun vastaanottajan, joka Azure AD B2C: lle on sovellustunnus. Sovellusten tulisi vahvistaa tämä arvo varmistaakseen, että se vastaa heidän ID: tä ja hylätä tunnuksen, jos se ei [3]. Yleisö on synonyymi resurssille [3].
* ISS (liikkeeseenlaskija): Tämä vaatimus tunnistaa tunnuksen rakentavan ja palauttaneen turvallisuuspalvelun (STS) ja tunnistaa myös hakemiston, jossa käyttäjä todennettiin. Hakemusten tulisi vahvistaa tämä väite varmistaakseen, että tunnus tuli asianmukaisesta päätepisteestä [3].
* IAT (liikkeeseen laskettu): Tämä edustaa aikaa, jolloin tunnus annettiin aikakaudella [3].
* EXP (vanhenemisaika): Tämä osoittaa ajan, jolloin tunnus tulee virheelliseksi, edustettuna aikakauden aikana. Hakemusten tulisi käyttää tätä vaatimusta tokenin elinajan pätevyyden varmistamiseksi [3].
* NBF (ei ennen): Tämä väite määrittelee ajan, jolloin merkki tulee voimassa, aikakaudella. Se on yleensä sama kuin ajanjakso, joka annettiin, ja hakemuksesi tulisi käyttää tätä vaatimusta tokenin elinajan pätevyyden varmistamiseksi [3].
* Ver (versio): Tämä osoittaa ID -tunnuksen version, kuten Azure AD B2C [3] määrittelee.
* C_HASH (koodi Hash): Sisältää ID -tunnukseen vain, kun merkki annetaan yhdessä OAuth 2.0 -valtuutuskoodin kanssa. Sitä voidaan käyttää valtuutuskoodin aitouden validointiin [3].
* AT_HASH (Access token Hash): Sisältää ID -tunnukseen vain, kun merkki annetaan yhdessä OAuth 2.0 Access -tunnuksen kanssa, ja sitä käytetään pääsytunnuksen aitouden validointiin [3].
* Nonce: Strategia, jota käytetään tokenin uusintahyökkäysten lieventämiseen. Hakemuksesi voi määrittää noncon valtuutuspyyntössä käyttämällä `nonce` -kyselyparametria. Pyynnössä antamasi arvo on modifioimaton vain ID -tunnuksen "noncing" -vaatimuksessa [3].
* Sub (Aihe): Tämä väite edustaa päämiestä, josta merkki vakuuttaa tiedot, kuten sovelluksen käyttäjä. Arvo on muuttumaton, eikä sitä voida suunnitella uudelleen tai käyttää uudelleen. Sitä voidaan käyttää valtuutustarkastusten suorittamiseen turvallisesti. Oletusarvoisesti kohteen vaatimus täytetään hakemiston käyttäjän objektitunnuksella [3].
* ACR (todennuskontekstin luokkaviite): Käytetään vain vanhempien politiikkojen kanssa [3].
* TFP (luottamuskehyspolitiikka): ID -tunnuksen hankkimiseen käytetty politiikan nimi [3].
* Auth \ _Time: Aika, jolloin käyttäjä viimeksi kirjoitti valtakirjat, edustettuna aikakauden aikana. Tämän todennuksen välillä ei ole syrjintää tuoreen kirjautumisen, yhden kirjautumisen (SSO) istunnon tai muun kirjautumistyypin välillä [3].
* SCP (laajuus): Tämä viittaa pääsytunnuksen resurssille myönnettyihin käyttöoikeuksiin. Useat myöntäneet käyttöoikeudet erotetaan tilalla [3].
* AZP (valtuutettu osapuoli): Pyynnön käynnistävän asiakassovelluksen sovellustunnus [3].
* OID: Tämä väite sisältää Azure AD: n objektin yksilöllisen tunnisteen, on muuttumaton, eikä sitä voida siirtää uudelleen tai käyttää uudelleen. Sitä voidaan käyttää kohteen tunnistamiseen kyselyissä Azure AD: lle [1].
Viittaukset:
.
.
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
.
[6] https://auth0.com/blog/refresh-tokens-what-are-hey-and-when-to-use-them/
.
[8] https://www.descope.com/blog/post/access-token-vs-refresh-hoken