Les réclamations communes trouvées dans Azure AD OAuth Tokens comprennent les éléments suivants:
* Aud (public): Cela identifie le destinataire prévu du jeton, qui, pour Azure AD B2C, est l'ID d'application. Les applications doivent valider cette valeur pour s'assurer qu'elle correspond à leur identifiant et rejeter le jeton si elle ne le fait pas [3]. Le public est synonyme de ressource [3].
* ISS (émetteur): Cette réclamation identifie le service de jeton de sécurité (STS) qui a construit et renvoyé le jeton, et identifie également le répertoire où l'utilisateur a été authentifié. Les demandes doivent valider cette réclamation pour s'assurer que le jeton provient du point de terminaison approprié [3].
* IAT (publié sur): Cela représente le moment où le jeton a été émis, à l'époque de l'époque [3].
* Exp (temps d'expiration): Cela indique le temps auquel le jeton devient invalide, représenté en temps d'époque. Les demandes doivent utiliser cette réclamation pour vérifier la validité de la durée de vie du jeton [3].
* NBF (pas avant): Cette affirmation spécifie l'heure à laquelle le jeton devient valide, à l'époque de l'époque. C'est généralement la même chose que le moment où le jeton a été émis, et votre demande doit utiliser cette réclamation pour vérifier la validité de la durée de vie du jeton [3].
* ver (version): Cela indique la version du jeton ID, tel que défini par Azure AD B2C [3].
* C_HASH (Hash de code): inclus dans un jeton ID uniquement lorsque le jeton est émis avec un code d'autorisation OAuth 2.0. Il peut être utilisé pour valider l'authenticité d'un code d'autorisation [3].
* AT_HASH (Hash de jeton d'accès): inclus dans un jeton ID uniquement lorsque le jeton est émis avec un jeton d'accès OAuth 2.0, et utilisé pour valider l'authenticité d'un jeton d'accès [3].
* Nonce: une stratégie utilisée pour atténuer les attaques de relecture token. Votre application peut spécifier un NONCE dans une demande d'autorisation en utilisant le paramètre de requête `` NONCE '. La valeur que vous fournissez dans la demande est émise non modifiée dans la réclamation «nonce» d'un jeton ID [3].
* Sub (Sujet): Cette affirmation représente le principal sur lequel le jeton affirme des informations, telles que l'utilisateur d'une application. La valeur est immuable et ne peut pas être réaffectée ou réutilisée. Il peut être utilisé pour effectuer des vérifications d'autorisation en toute sécurité. Par défaut, la revendication du sujet est remplie de l'ID d'objet de l'utilisateur dans le répertoire [3].
* ACR (référence de classe de contexte d'authentification): utilisé uniquement avec les politiques plus anciennes [3].
* TFP (Trust Framework Policy): Le nom de la politique qui a été utilisé pour acquérir le jeton ID [3].
* Auth \ _time: l'heure à laquelle un utilisateur a saisi les informations d'identification pour la dernière fois, représentées à l'époque de l'époque. Il n'y a pas de discrimination entre cette authentification étant une nouvelle connexion, une seule session de connexion (SSO) ou un autre type de connexion [3].
* SCP (Scope): Il s'agit des autorisations accordées à la ressource pour un jeton d'accès. Les autorisations multiples accordées sont séparées par un espace [3].
* AZP (partie autorisée): l'ID de demande de l'application client qui a lancé la demande [3].
* OID: Cette affirmation contient l'identifiant unique d'un objet dans Azure AD, est immuable et ne peut pas être réaffecté ou réutilisé. Il peut être utilisé pour identifier un objet dans les requêtes à Azure AD [1].
Citations:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claids-from-azure-ad-tokens-can-be-safely-used-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-ontains-info-that-i-thought-dould-be-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claids-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claids-reference
[8] https://www.descope.com/blog/post/Access-Token-vs-refresh-Token