Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ¿Cuáles son las afirmaciones comunes que se encuentran en Azure Oauth Tokens?


¿Cuáles son las afirmaciones comunes que se encuentran en Azure Oauth Tokens?


Las reclamaciones comunes encontradas en Azure Ad Oauth Tokens incluyen lo siguiente:

* aud (audiencia): esto identifica el destinatario previsto del token, que, para Azure AD B2C, es la ID de aplicación. Las solicitudes deben validar este valor para garantizar que coincida con su identificación y rechazar el token si no lo hace [3]. El público es sinónimo de recursos [3].
* ISS (emisor): este reclamo identifica el servicio de token de seguridad (STS) que construyó y devolvió el token, y también identifica el directorio donde se autenticó el usuario. Las solicitudes deben validar este reclamo para garantizar que el token provenga del punto final apropiado [3].
* IAT (emitido en): Esto representa el momento en que se emitió el token, en el tiempo de la época [3].
* Exp (tiempo de vencimiento): esto indica el momento en que el token se vuelve inválido, representado en el tiempo de la época. Las aplicaciones deben usar este reclamo para verificar la validez de la vida útil del token [3].
* NBF (no antes): esta afirmación especifica el momento en que el token se vuelve válido, en el tiempo de la época. Por lo general, es lo mismo que el tiempo en que se emitió el token, y su solicitud debe usar este reclamo para verificar la validez de la vida útil del token [3].
* ver (versión): esto indica la versión del token de identificación, según lo definido por Azure AD B2C [3].
* c_hash (código hash): incluido en un token de identificación solo cuando el token se emite junto con un código de autorización OAuth 2.0. Se puede utilizar para validar la autenticidad de un código de autorización [3].
* AT_HASH (hash de token de acceso): incluido en un token de identificación solo cuando el token se emite junto con un token de acceso OAuth 2.0, y se usa para validar la autenticidad de un token de acceso [3].
* Nonce: una estrategia utilizada para mitigar los ataques de reproducción de tokens. Su aplicación puede especificar un Nonce en una solicitud de autorización utilizando el parámetro de consulta 'Nonce`. El valor que proporciona en la solicitud se emite sin modificar en el reclamo `nonce` de un token de identificación solamente [3].
* Sub (sujeto): esta afirmación representa el principal sobre el cual el token afirma información, como el usuario de una aplicación. El valor es inmutable y no se puede reasignar o reutilizar. Se puede utilizar para realizar controles de autorización de manera segura. Por defecto, el reclamo del sujeto se llena con la ID de objeto del usuario en el directorio [3].
* ACR (referencia de clase de contexto de autenticación): se usa solo con políticas más antiguas [3].
* TFP (Política de marco de confianza): el nombre de la política que se utilizó para adquirir el token de identificación [3].
* Auth \ _time: el momento en que un usuario ingresó por última vez las credenciales, representadas en el tiempo de la época. No hay discriminación entre que esa autenticación sea una nueva sesión de inicio de sesión, una sola sesión de inicio de sesión (SSO) u otro tipo de inicio de sesión [3].
* SCP (Alcance): Esto se refiere a los permisos otorgados al recurso para un token de acceso. Múltiples permisos otorgados están separados por un espacio [3].
* AZP (Parte autorizada): la ID de aplicación de la aplicación cliente que inició la solicitud [3].
* OID: Esta afirmación contiene el identificador único de un objeto en Azure AD, es inmutable y no puede reasignarse o reutilizarse. Se puede usar para identificar un objeto en consultas a Azure AD [1].

Citas:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens--be-safely-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-thought-would-bein-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-ae-they-and-when-to-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token