Vanlige påstander som er funnet i Azure AD OAuth -symboler inkluderer følgende:
* AUD (publikum): Dette identifiserer den tiltenkte mottakeren av tokenet, som for Azure AD B2C er applikasjons -ID. Programmer skal validere denne verdien for å sikre at den samsvarer med ID -en og avviser tokenet hvis det ikke gjør det [3]. Publikum er synonymt med ressurs [3].
* ISS (utsteder): Dette kravet identifiserer Security Token Service (STS) som konstruerte og returnerte tokenet, og identifiserer også katalogen der brukeren ble autentisert. Søknader bør validere dette kravet for å sikre at tokenet kom fra det aktuelle sluttpunktet [3].
* IAT (utstedt på): Dette representerer tidspunktet for at tokenet ble utstedt, i epoke -tid [3].
* EXP (utløpstid): Dette indikerer tidspunktet for at symbolet blir ugyldig, representert i epokid. Søknader bør bruke dette kravet for å bekrefte gyldigheten av token -levetiden [3].
* NBF (ikke før): Denne påstanden spesifiserer tidspunktet for at symbolet blir gyldig, i epoke -tid. Det er vanligvis det samme som tiden tokenet ble utstedt, og søknaden din bør bruke dette kravet for å bekrefte gyldigheten av token -levetiden [3].
* Ver (versjon): Dette indikerer versjonen av ID -tokenet, som definert av Azure AD B2C [3].
* C_HASH (Code Hash): Inkludert i en ID -token bare når tokenet er utstedt sammen med en OAUTH 2.0 autorisasjonskode. Den kan brukes til å validere ektheten av en autorisasjonskode [3].
* AT_HASH (Access Token Hash): Inkludert i et ID -token bare når tokenet er utstedt sammen med en OAuth 2.0 Access Token, og brukes til å validere ektheten til et tilgangstoken [3].
* Nonce: En strategi som brukes til å dempe Token Replay -angrep. Søknaden din kan spesifisere en NOCE i en autorisasjonsforespørsel ved å bruke parameteren `nonce`. Verdien du oppgir i forespørselen sendes ut umodifisert i `nonce` -påstanden til et ID -token bare [3].
* Sub (emne): Denne påstanden representerer rektor som tokenet hevder informasjon, for eksempel brukeren av en applikasjon. Verdien er uforanderlig og kan ikke tilordnes eller gjenbrukes. Den kan brukes til å utføre autorisasjonskontroller trygt. Som standard er emnekravet befolket med objekt -IDen til brukeren i katalogen [3].
* ACR (Authentication Context Class Reference): Brukes bare med eldre retningslinjer [3].
* TFP (Trust Framework Policy): Navnet på policyen som ble brukt til å skaffe ID -tokenet [3].
* AUTH \ _TIME: Tidspunktet hvor en bruker sist skrev inn legitimasjon, representert i epoke -tid. Det er ingen diskriminering mellom at autentiseringen er en ny pålogging, en enkelt påloggings (SSO) økt eller en annen påloggingstype [3].
* SCP (omfang): Dette refererer til tillatelsene som er gitt til ressursen for et tilgangstoken. Flere tildelt tillatelser skilles med et rom [3].
* AZP (autorisert part): Søknads -ID for klientsøknaden som startet forespørselen [3].
* OID: Denne påstanden inneholder den unike identifikatoren til et objekt i Azure AD, er uforanderlig og kan ikke tilordnes eller gjenbrukes. Det kan brukes til å identifisere et objekt i spørsmål til Azure AD [1].
Sitasjoner:
[1] https://stackoverflow.com/questions/40972416/what-jwt-crainn-from-zure-ad-tokens-can-esafely-use-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-tog-would-e-in-the-id-Token-and-VI
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-crainn-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token