Wspólne roszczenia znalezione w tokenach Azure Ad Oauth obejmują:
* AUD (AUDERS): Identyfikuje to zamierzony odbiorca tokena, który dla Azure AD B2C jest identyfikatorem aplikacji. Aplikacje powinny potwierdzić tę wartość, aby dopasować ich identyfikator i odrzucić token, jeśli nie [3]. Publiczność jest synonimem zasobów [3].
* ISS (emitent): Roszczenie to identyfikuje usługi tokena bezpieczeństwa (STS), które skonstruowały i zwracały token, a także identyfikuje katalog, w którym użytkownik został uwierzytelniony. Wnioski powinny potwierdzić to twierdzenie o zapewnieniu, że token pochodzi z odpowiedniego punktu końcowego [3].
* IAT (wydany w): reprezentuje czas wydawania tokena w czasie epok [3].
* exp (czas ważności): Wskazuje to czas, w którym token staje się nieważny, reprezentowany w epokach. Wnioski powinny użyć tego roszczenia w celu zweryfikowania ważności życia tokena [3].
* NBF (nie wcześniej): to twierdzenie określa czas, w którym token staje się ważny, w czasie epok. Zazwyczaj jest to tak samo, jak w momencie wydawania tokena, a Twoja wniosek powinien skorzystać z tego roszczenia w celu zweryfikowania ważności życia tokena [3].
* Ver (wersja): Wskazuje to wersję tokena identyfikacyjnego, zgodnie z definicją Azure AD B2C [3].
* C_hash (kod skrót): zawarty w tokenach identyfikatorów tylko wtedy, gdy token jest wydawany wraz z kodem autoryzacji OAuth 2.0. Można go użyć do potwierdzenia autentyczności kodu autoryzacji [3].
* AT_HASH (Hash Token Access): zawarty w tokenach identyfikacyjnych tylko wtedy, gdy token jest wydawany wraz z tokenem dostępowym OAuth 2.0 i używany do potwierdzenia autentyczności tokena dostępu [3].
* Nonce: strategia stosowana do łagodzenia ataków powtórki tokena. Twoja aplikacja może określić Nonce w żądaniu autoryzacji za pomocą parametru zapytania „Nonce”. Wartość podana na żądanie jest emitowana niezmodyfikowana w roszczeniu „nonce” tylko tokena ID [3].
* Sub (podmiot): Roszczenie to stanowi zasadę, o której token potwierdza informacje, takie jak użytkownik aplikacji. Wartość jest niezmienna i nie można jej ponownie przypisać ani ponownie wykorzystywania. Można go użyć do bezpiecznego wykonywania kontroli autoryzacji. Domyślnie roszczenie przedmiotowe jest wypełnione identyfikatorem obiektu użytkownika w katalogu [3].
* ACR (odniesienie do klasy uwierzytelniania): używane tylko ze starszymi zasadami [3].
* TFP (Polityka frameworka Trust): Nazwa zasady używanej do nabycia tokena identyfikacyjnego [3].
* Auth \ _Time: czas, w którym użytkownik ostatnio wprowadził poświadczenia, reprezentowane w czasie epok. Nie ma dyskryminacji między tym uwierzytelnianiem, który jest świeżym logowaniem, sesją pojedynczą (SSO) lub innym typem logowania [3].
* SCP (zakres): odnosi się to do uprawnień przyznanych zasobowi dla tokena dostępu. Wiele przyznanych uprawnień jest oddzielonych przestrzenią [3].
* AZP (autoryzowana strona): identyfikator aplikacji aplikacji klienta, który zainicjował żądanie [3].
* OID: Roszczenie to zawiera unikalny identyfikator obiektu w Azure AD, jest niezmienne i nie można go ponownie przypisać ani ponownie wykorzystać. Można go użyć do identyfikacji obiektu w zapytaniach do Azure AD [1].
Cytaty:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-be-safely-used-for-user-user-mappings
[2] https://stackaverflow.com/questions/70867353/azure-access-token-contains-info-that-i-thought-ie-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claes-reference
[6] https://auth0.com/blog/refresh-tokens-what-hey-and-hen-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token