Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Ποιες είναι οι συνήθεις ισχυρισμοί που βρέθηκαν στα Azure Oauth Tokens


Ποιες είναι οι συνήθεις ισχυρισμοί που βρέθηκαν στα Azure Oauth Tokens


Οι συνήθεις αξιώσεις που βρέθηκαν σε μάρκες Azure AD OAuth περιλαμβάνουν τα εξής:

* AUD (κοινό): Αυτό προσδιορίζει τον προβλεπόμενο παραλήπτη του διακριτικού, ο οποίος, για το Azure AD B2C, είναι το αναγνωριστικό εφαρμογής. Οι εφαρμογές θα πρέπει να επικυρώσουν αυτήν την τιμή για να διασφαλίσουν ότι ταιριάζει με την ταυτότητά τους και να απορρίψουν το διακριτικό εάν δεν είναι [3]. Το κοινό είναι συνώνυμο με τον πόρο [3].
* ISS (εκδότης): Αυτή η αξίωση προσδιορίζει την υπηρεσία συμβολαίου ασφαλείας (STS) που κατασκευάστηκε και επέστρεψε το διακριτικό και προσδιορίζει επίσης τον κατάλογο όπου ο χρήστης είχε πιστοποιηθεί. Οι αιτήσεις θα πρέπει να επικυρώσουν αυτόν τον ισχυρισμό για να εξασφαλίσουν ότι το διακριτικό προέρχεται από το κατάλληλο τελικό σημείο [3].
* IAT (που εκδόθηκε στο): Αυτό αντιπροσωπεύει την ώρα κατά την οποία εκδόθηκε το διακριτικό, σε χρόνο εποχής [3].
* exp (χρόνος λήξης): Αυτό υποδεικνύει την ώρα κατά την οποία το διακριτικό γίνεται άκυρο, που αντιπροσωπεύεται σε χρόνο εποχής. Οι εφαρμογές θα πρέπει να χρησιμοποιούν αυτόν τον ισχυρισμό για να επαληθεύσουν την εγκυρότητα της διάρκειας ζωής [3].
* NBF (όχι πριν): Αυτή η αξίωση καθορίζει την ώρα κατά την οποία το διακριτικό γίνεται έγκυρο, σε χρόνο εποχής. Είναι συνήθως η ίδια με την έκδοση του διακριτικού και η αίτησή σας πρέπει να χρησιμοποιήσει αυτόν τον ισχυρισμό για να επαληθεύσει την εγκυρότητα της ζωής του διακριτικού [3].
* ver (έκδοση): Αυτό υποδεικνύει την έκδοση του διακριτικού ID, όπως ορίζεται από το Azure AD B2C [3].
* C_HASH (κωδικός hash): Περιλαμβάνεται σε ένα δείκτη ταυτότητας μόνο όταν εκδίδεται το διακριτικό μαζί με έναν κωδικό εξουσιοδότησης OAuth 2.0. Μπορεί να χρησιμοποιηθεί για την επικύρωση της αυθεντικότητας ενός κώδικα εξουσιοδότησης [3].
* AT_HASH (Hash Access Token Hash): Περιλαμβάνεται σε ένα αναγνωριστικό ID μόνο όταν εκδίδεται το διακριτικό μαζί με ένα διακριτικό πρόσβασης OAuth 2.0 και χρησιμοποιείται για την επικύρωση της αυθεντικότητας ενός διακριτικού πρόσβασης [3].
* NONCE: Μια στρατηγική που χρησιμοποιείται για την άμβλυνση των επιθέσεων επανάληψης συμβόλων. Η αίτησή σας μπορεί να καθορίσει ένα NONCE σε ένα αίτημα εξουσιοδότησης χρησιμοποιώντας την παράμετρο `nonce` query. Η τιμή που παρέχετε στο αίτημα εκπέμπεται μη τροποποιημένη στο `nonce` ισχυρισμό μόνο ενός διακριτικού ID [3].
* SUB (θέμα): Αυτός ο ισχυρισμός αντιπροσωπεύει τον κύριο κύριο για το οποίο το συμβόλαιο επιβεβαιώνει πληροφορίες, όπως ο χρήστης μιας εφαρμογής. Η τιμή είναι αμετάβλητη και δεν μπορεί να επανατοποθετηθεί ή να επαναχρησιμοποιηθεί. Μπορεί να χρησιμοποιηθεί για να εκτελέσει ελέγχους εξουσιοδότησης με ασφάλεια. Από προεπιλογή, η αξίωση υποκειμένου συμπληρώνεται με το αναγνωριστικό αντικειμένου του χρήστη στον κατάλογο [3].
* ACR (αναφορά κλάσης περιβάλλοντος ελέγχου ταυτότητας): Χρησιμοποιείται μόνο με παλαιότερες πολιτικές [3].
* TFP (πολιτική πλαισίου εμπιστοσύνης): Το όνομα της πολιτικής που χρησιμοποιήθηκε για την απόκτηση του διακριτικού ID [3].
* auth \ _time: ο χρόνος κατά τον οποίο ένας χρήστης εισήγαγε τελευταία διαπιστευτήρια, που εκπροσωπείται σε χρόνο εποχής. Δεν υπάρχει καμία διάκριση μεταξύ αυτού του ελέγχου ταυτότητας που είναι μια νέα σύνδεση, μια ενιαία συνεδρία Sign-On (SSO) ή ένας άλλος τύπος σύνδεσης [3].
* SCP (πεδίο εφαρμογής): Αυτό αναφέρεται στα δικαιώματα που χορηγούνται στον πόρο για ένα διακριτικό πρόσβασης. Πολλαπλές χορηγήσεις διαχωρίζονται από ένα χώρο [3].
* AZP (εξουσιοδοτημένο συμβαλλόμενο μέρος): Το αναγνωριστικό της αίτησης της αίτησης πελάτη που ξεκίνησε το αίτημα [3].
* OID: Αυτός ο ισχυρισμός περιέχει το μοναδικό αναγνωριστικό ενός αντικειμένου στο Azure AD, είναι αμετάβλητο και δεν μπορεί να επανατοποθετηθεί ή να επαναχρησιμοποιηθεί. Μπορεί να χρησιμοποιηθεί για τον εντοπισμό ενός αντικειμένου σε ερωτήματα για Azure AD [1].

Αναφορές:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-be-safely-for-us-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-thought-would-be-in-the-id-token-
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token