Gemeinsame Ansprüche in Azure ad oAuth -Token enthalten die folgenden:
* AUD (Publikum): Dies identifiziert den beabsichtigten Empfänger des Tokens, der für Azure AD B2C die Anwendungs -ID ist. Anwendungen sollten diesen Wert validieren, um sicherzustellen, dass er der ID entspricht, und das Token abzulehnen, wenn dies nicht [3] ist. Das Publikum ist ein Synonym für Ressourcen [3].
* ISS (Emittent): Dieser Anspruch identifiziert den Security Token Service (STS), der das Token konstruiert und zurückgegeben hat, und identifiziert auch das Verzeichnis, in dem der Benutzer authentifiziert wurde. Anträge sollten diesen Anspruch validieren, um sicherzustellen, dass das Token vom entsprechenden Endpunkt stammt [3].
* IAT (ausgestellt bei): Dies stellt die Zeit dar, zu der das Token in der Epoche -Zeit ausgestellt wurde [3].
* EXP (Ablaufzeit): Dies zeigt die Zeit an, zu der das Token ungültig wird, der in der Epochezeit dargestellt wird. Anträge sollten diesen Anspruch verwenden, um die Gültigkeit der Token -Lebensdauer zu überprüfen [3].
* NBF (nicht vorher): Diese Behauptung gibt in der Epoche die Zeit an, zu der das Token gültig wird. In der Regel ist dieselbe Zeit, an dem das Token ausgestellt wurde, und Ihr Antrag sollte diesen Anspruch verwenden, um die Gültigkeit der Lebensdauer der Token zu überprüfen [3].
* Ver (Version): Dies zeigt die Version des ID -Tokens an, wie von Azure AD B2C [3] definiert.
* c_hash (Code Hash): Nur in einem ID -Token enthalten, wenn das Token zusammen mit einem OAuth 2.0 -Autorisierungscode ausgestellt wird. Es kann verwendet werden, um die Authentizität eines Autorisierungscode zu validieren [3].
* AT_HASH (Zugriffs -Token -Hash): Nur in einem ID -Token enthalten, wenn das Token zusammen mit einem OAuth 2.0 -Zugangs -Token ausgestellt wird und zur Bestätigung der Authentizität eines Zugangs -Tokens verwendet wird [3].
* Nonce: Eine Strategie zur Minderung von Token -Wiederholungsangriffen. Ihre Bewerbung kann in einer Autorisierungsanforderung einen Nonce angeben, indem Sie den Parameter "Nonce" -Anterfrage verwenden. Der Wert, den Sie in der Anfrage angeben, wird in der "Nonce" -Antreffer eines ID -Tokens nur [3] nicht ausgestrahlt.
* Sub (Subjekt): Dieser Anspruch stellt den Auftraggeber dar, über den das Token Informationen wie den Benutzer einer Anwendung geltend macht. Der Wert ist unveränderlich und kann nicht neu zugewiesen oder wiederverwendet werden. Es kann verwendet werden, um Autorisierungsüberprüfungen sicher durchzuführen. Standardmäßig ist der Probandenanspruch mit der Objekt -ID des Benutzers im Verzeichnis [3] besiedelt.
* ACR (Referenz für Authentifizierungskontextklassen): Nur mit älteren Richtlinien [3].
* TFP (Trust Framework -Richtlinie): Der Name der Richtlinie, mit der das ID -Token erfasst wurde [3].
* Auth \ _time: Die Zeit, zu der ein Benutzer zuletzt in der Epoche -Zeit angegeben hat. Es gibt keine Diskriminierung zwischen dieser Authentifizierung, die eine frische Anmeldung, eine einzelne SWSO-Sitzung (SSO) oder einen anderen Anmeldetyp ist [3].
* SCP (SCOPE): Dies bezieht sich auf die Berechtigungen, die der Ressource für ein Zugriffstoken erteilt wurden. Mehrere gewährte Berechtigungen werden durch einen Raum getrennt [3].
* AZP (autorisierte Partei): Die Anwendungs -ID der Client -Anwendung, die die Anfrage initiierte [3].
* OID: Diese Behauptung enthält die eindeutige Kennung eines Objekts in Azure AD, ist unveränderlich und kann nicht neu zugewiesen oder wiederverwendet werden. Es kann verwendet werden, um ein Objekt in Abfragen zu Azure AD zu identifizieren [1].
Zitate:
[1] https://stackoverflow.com/questions/40972416/what-jwt-craims-from-azure-ad-tokens-can-be-safely-used-for-nern-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-teken-contain-info-that-i-ithought-hould-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-teken-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-t-use-tthem/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-teka-claims-reference
[8] https://www.descope.com/blog/post/access-teken-vs-refresh-teken