Revendicările comune găsite în jetoanele Azure ad oauth includ următoarele:
* aud (public): Aceasta identifică destinatarul intenționat al jetonului, care, pentru Azure AD B2C, este ID -ul aplicației. Aplicațiile ar trebui să valideze această valoare pentru a se asigura că se potrivește cu ID -ul lor și respinge jetonul dacă nu [3]. Publicul este sinonim cu resursa [3].
* ISS (emitent): Această afirmație identifică serviciul de jeton de securitate (STS) care a construit și returnat jetonul și, de asemenea, identifică directorul în care utilizatorul a fost autentificat. Cererile ar trebui să valideze această afirmație pentru a asigura că jetonul provine din punctul final corespunzător [3].
* IAT (emis la): Aceasta reprezintă timpul în care a fost emis jetonul, în perioada epochei [3].
* Exp (timpul de expirare): Aceasta indică timpul în care jetonul devine invalid, reprezentat în timpul epochei. Aplicațiile ar trebui să utilizeze această afirmație pentru a verifica validitatea duratei de viață a jetonului [3].
* NBF (nu înainte): Această afirmație specifică timpul în care jetonul devine valabil, în epocă. De obicei, este același cu momentul în care a fost emis jetonul, iar cererea dvs. ar trebui să utilizeze această afirmație pentru a verifica validitatea duratei de viață a jetonului [3].
* Ver (versiune): Aceasta indică versiunea jetonului ID, așa cum este definit de Azure ad B2C [3].
* C_HASH (cod hash): inclus într -un jeton de identificare numai atunci când jetonul este emis împreună cu un cod de autorizare OAuth 2.0. Poate fi utilizat pentru a valida autenticitatea unui cod de autorizare [3].
* AT_HASH (Acces Token Hash): inclus într -un jeton de identificare numai atunci când jetonul este emis împreună cu un jeton de acces OAuth 2.0 și folosit pentru a valida autenticitatea unui jeton de acces [3].
* Nonce: o strategie folosită pentru atenuarea atacurilor de redare a tokenului. Aplicația dvs. poate specifica o nonce într -o cerere de autorizare folosind parametrul de interogare „nonce”. Valoarea pe care o furnizați în cerere este emisă nemodificată în revendicarea „nonce” a unui jeton de identificare [3].
* sub (subiect): Această afirmație reprezintă principalul despre care jetonul afirmă informații, cum ar fi utilizatorul unei aplicații. Valoarea este imuabilă și nu poate fi reasignată sau reutilizată. Poate fi utilizat pentru a efectua verificări de autorizare în siguranță. În mod implicit, revendicarea subiectului este populată cu ID -ul obiectului utilizatorului din director [3].
* ACR (referință de clasă de context de autentificare): utilizat numai cu politici mai vechi [3].
* TFP (Politica Framework Trust): Numele politicii care a fost utilizată pentru a achiziționa simbolul de identificare [3].
* Auth \ _time: timpul la care un utilizator a introdus ultima dată acreditări, reprezentat în epoch. Nu există nicio discriminare între acea autentificare fiind o proaspătă de conectare, o singură sesiune de conectare (SSO) sau un alt tip de conectare [3].
* SCP (domeniul de aplicare): aceasta se referă la permisiunile acordate resursei pentru un jeton de acces. Permisiuni multiple acordate sunt separate de un spațiu [3].
* AZP (Partea autorizată): ID -ul de cerere al aplicației client care a inițiat cererea [3].
* OID: Această afirmație conține identificatorul unic al unui obiect din Azure AD, este imuabil și nu poate fi reasignat sau reutilizat. Poate fi utilizat pentru a identifica un obiect în interogări la Azure AD [1].
Citări:
[1] https://stackoverflow.com/questions/40972416/what-jwt-calaims-from-azure-ad-tokens-can-be-a--use-leut-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contes-info-that-i-chothought-would-be- in-the-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-calaims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-hey-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-calaims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token