Klaim umum yang ditemukan dalam token Azure ad oauth termasuk yang berikut:
* AUD (audiens): Ini mengidentifikasi penerima token yang dituju, yang, untuk Azure AD B2C, adalah ID aplikasi. Aplikasi harus memvalidasi nilai ini untuk memastikannya cocok dengan ID mereka dan menolak token jika tidak [3]. Penonton identik dengan sumber daya [3].
* ISS (penerbit): Klaim ini mengidentifikasi Layanan Token Keamanan (STS) yang membuat dan mengembalikan token, dan juga mengidentifikasi direktori tempat pengguna diautentikasi. Aplikasi harus memvalidasi klaim ini untuk memastikan token berasal dari titik akhir yang sesuai [3].
* IAT (dikeluarkan AT): Ini mewakili waktu di mana token dikeluarkan, dalam waktu zaman [3].
* exp (waktu kedaluwarsa): Ini menunjukkan waktu di mana token menjadi tidak valid, diwakili dalam waktu zaman. Aplikasi harus menggunakan klaim ini untuk memverifikasi validitas masa pakai token [3].
* NBF (bukan sebelumnya): Klaim ini menentukan waktu di mana token menjadi valid, dalam waktu zaman. Biasanya sama dengan waktu token dikeluarkan, dan aplikasi Anda harus menggunakan klaim ini untuk memverifikasi validitas masa hidup token [3].
* Ver (Versi): Ini menunjukkan versi token ID, sebagaimana didefinisikan oleh Azure AD B2C [3].
* c_hash (kode hash): Termasuk dalam token ID hanya ketika token dikeluarkan bersama dengan kode otorisasi OAuth 2.0. Ini dapat digunakan untuk memvalidasi keaslian kode otorisasi [3].
* at_hash (hash token akses): termasuk dalam token ID hanya ketika token dikeluarkan bersama dengan token akses oauth 2.0, dan digunakan untuk memvalidasi keaslian token akses [3].
* NONCE: Strategi yang digunakan untuk mengurangi serangan replay token. Aplikasi Anda dapat menentukan nonce dalam permintaan otorisasi dengan menggunakan parameter `nonce` kueri. Nilai yang Anda berikan dalam permintaan dipancarkan tidak dimodifikasi dalam klaim `nonce` dari token ID saja [3].
* Sub (subjek): Klaim ini mewakili kepala sekolah tentang mana token menegaskan informasi, seperti pengguna aplikasi. Nilainya tidak dapat diubah dan tidak dapat dipindahkan atau digunakan kembali. Ini dapat digunakan untuk melakukan pemeriksaan otorisasi dengan aman. Secara default, klaim subjek diisi dengan ID objek pengguna di direktori [3].
* ACR (referensi kelas konteks otentikasi): hanya digunakan dengan kebijakan yang lebih lama [3].
* TFP (Kebijakan Kerangka Percaya): Nama kebijakan yang digunakan untuk memperoleh token ID [3].
* AUTH \ _TIME: Waktu di mana pengguna terakhir memasukkan kredensial, diwakili dalam waktu zaman. Tidak ada diskriminasi antara otentikasi yang menjadi masuk baru, sesi masuk tunggal (SSO), atau jenis masuk lainnya [3].
* SCP (Lingkup): Ini mengacu pada izin yang diberikan kepada sumber daya untuk token akses. Beberapa izin yang diberikan dipisahkan oleh ruang [3].
* AZP (Pihak Resmi): ID Aplikasi Aplikasi Klien yang memulai permintaan [3].
* OID: Klaim ini berisi pengidentifikasi unik dari suatu objek dalam Azure AD, tidak dapat diubah, dan tidak dapat dipindahkan atau digunakan kembali. Ini dapat digunakan untuk mengidentifikasi objek dalam kueri ke Azure AD [1].
Kutipan:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-we-safely-)-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-that-that-i-dipikirkan-would--t-in-that-token-doken-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token