As reivindicações comuns encontradas nos tokens do Azure Ad Oauth incluem o seguinte:
* AUD (Audiência): Isso identifica o destinatário pretendido do token, que, para o Azure AD B2C, é o ID do aplicativo. Os aplicativos devem validar esse valor para garantir que ele corresponda ao seu ID e rejeitar o token se não o fizer [3]. O público é sinônimo de recurso [3].
* ISS (emissor): Esta reivindicação identifica o Serviço de Token de Segurança (STS) que construiu e devolveu o token e também identifica o diretório em que o usuário foi autenticado. Os pedidos devem validar essa reivindicação para garantir que o token venha do ponto final apropriado [3].
* IAT (emitido em): Isso representa o momento em que o token foi emitido, na época da época [3].
* Exp (Tempo de Expiração): Isso indica o tempo em que o token se torna inválido, representado no tempo da época. Os aplicativos devem usar esta reivindicação para verificar a validade da vida útil do token [3].
* NBF (não antes): Esta reivindicação especifica o horário em que o token se torna válido, na época da época. Geralmente é o mesmo que o momento em que o token foi emitido e seu aplicativo deve usar essa reivindicação para verificar a validade da vida útil do token [3].
* ver (versão): isso indica a versão do token ID, conforme definido pelo Azure Ad B2C [3].
* c_hash (hash de código): incluído em um token de identificação somente quando o token é emitido junto com um código de autorização OAuth 2.0. Pode ser usado para validar a autenticidade de um código de autorização [3].
* at_hash (hash token de acesso): incluído em um token de identificação somente quando o token é emitido junto com um token de acesso OAuth 2.0 e usado para validar a autenticidade de um token de acesso [3].
* NONCE: Uma estratégia usada para mitigar ataques de reprodução de token. Seu aplicativo pode especificar um NONCE em uma solicitação de autorização usando o parâmetro de consulta `nonce`. O valor que você fornece na solicitação é emitido não modificado na reivindicação de `nonce 'de um token de identificação [3].
* Sub (sujeito): Esta reivindicação representa o principal sobre o qual o token afirma informações, como o usuário de um aplicativo. O valor é imutável e não pode ser transferido ou reutilizado. Pode ser usado para executar verificações de autorização com segurança. Por padrão, a reivindicação de assunto é preenchida com o ID do objeto do usuário no diretório [3].
* ACR (referência da classe de contexto de autenticação): Usado apenas com políticas mais antigas [3].
* TFP (Política da estrutura da confiança): o nome da política que foi usada para adquirir o token de identificação [3].
* Auth \ _time: o horário em que um usuário inseriu as credenciais pela última vez, representadas no horário da época. Não há discriminação entre essa autenticação sendo uma nova inscrição, uma única sessão de assinatura (SSO) ou outro tipo de login [3].
* SCP (escopo): refere -se às permissões concedidas ao recurso para um token de acesso. Várias permissões concedidas são separadas por um espaço [3].
* AZP (parte autorizada): o ID do aplicativo do aplicativo cliente que iniciou a solicitação [3].
* OID: Esta reivindicação contém o identificador exclusivo de um objeto no Azure AD, é imutável e não pode ser transferido ou reutilizado. Pode ser usado para identificar um objeto em consultas no Azure AD [1].
Citações:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-be-safely-use-for-user-uping
[2] https://stackoverflow.com/questions/70867353/Azure-Access-Token-Contains-info-That-i-i-T-pensou-would-in-the-i-token-e-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/Identity-platform/access-ton-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/Identity-platform/id-Token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token