Parastās prasības, kas atrodamas Azure Ad OAuth marķieros, ietver šādus:
* AUD (auditorija): Tas identificē paredzēto marķiera saņēmēju, kas Azure AD B2C ir lietojumprogrammas ID. Lietojumprogrammās jāapstiprina šī vērtība, lai nodrošinātu, ka tā atbilst viņu ID, un noraidiet marķieri, ja tā nav [3]. Auditorija ir sinonīms resursam [3].
* ISS (emitents): Šī prasība identificē drošības marķiera pakalpojumu (STS), kas uzbūvēja un atdeva marķieri, kā arī identificē direktoriju, kurā lietotājs tika autentificēts. Pieteikumiem vajadzētu apstiprināt šo prasību, lai nodrošinātu, ka marķieris nāk no atbilstošā parametra [3].
* IAT (izdots): Tas atspoguļo laiku, kurā tika izdots marķieris, laikmetā [3].
* Exp (derīguma termiņš): tas norāda laiku, kurā žetons kļūst nederīgs, kas attēlots laikmeta laikā. Lietojumprogrammās būtu jāizmanto šī prasība, lai pārbaudītu marķiera kalpošanas laiku [3].
* NBF (ne agrāk): šī prasība norāda laiku, kurā žetons kļūst derīgs, laikmetā. Parasti tas ir tāds pats kā marķiera izsniegšanas laiks, un jūsu pieteikumam būtu jāizmanto šī prasība, lai pārbaudītu marķiera kalpošanas laiku [3].
* Ver (versija): tas norāda ID marķiera versiju, kā to definējis Azure AD B2C [3].
* C_hash (kods hash): Iekļauts ID marķierā tikai tad, kad marķieris tiek izsniegts kopā ar OAuth 2.0 autorizācijas kodu. To var izmantot, lai apstiprinātu autorizācijas koda autentiskumu [3].
* AT_HASH (piekļuves marķieris hash): Iekļauts ID marķierā tikai tad, kad marķieris tiek izsniegts kopā ar OAuth 2.0 piekļuves marķieri un tiek izmantots piekļuves marķiera autentiskuma apstiprināšanai [3].
* Nonce: stratēģija, ko izmanto, lai mazinātu žetonu atkārtotu uzbrukumus. Jūsu lietojumprogramma autorizācijas pieprasījumā var norādīt nece, izmantojot parametru “Nonce”. Pieprasījumā esošā vērtība tiek parādīta nemodificēta tikai ID marķiera “nece” prasībā [3].
* Sub (subjekts): Šī prasība atspoguļo galveno, par kuru marķieris apliecina informāciju, piemēram, lietojumprogrammas lietotājs. Vērtība ir negrozāma, un to nevar pārveidot vai izmantot atkārtoti. To var izmantot, lai droši veiktu autorizācijas pārbaudes. Pēc noklusējuma subjekta prasība tiek aizpildīta ar lietotāja objekta ID direktorijā [3].
* ACR (autentifikācijas konteksta klases atsauce): izmanto tikai ar vecākām politikām [3].
* TFP (uzticamības ietvara politika): politikas nosaukums, kas tika izmantots ID marķiera iegūšanai [3].
* Auth \ _time: laiks, kurā lietotājs pēdējoreiz ievadīja akreditācijas datus, kas attēlots laikmetā. Nav diskriminācijas starp šo autentifikāciju, kas ir jauna pierakstīšanās, viena pierakstīšanās (SSO) sesija vai cits pierakstīšanās veids [3].
* SCP (darbības joma): tas attiecas uz atļaujām, kas piešķirtas resursam piekļuves marķierim. Vairākas piešķirtās atļaujas tiek atdalītas ar telpu [3].
* AZP (pilnvarota puse): klienta lietojumprogrammas lietojumprogrammas ID, kas ierosināja pieprasījumu [3].
* OID: Šajā prasībā ir unikālais objekta identifikators Azure AD, ir nemainīgs, un to nevar pārvērtēt vai atkārtoti izmantot. To var izmantot, lai identificētu objektu vaicājumos Azure AD [1].
Atsauces:
[1.]
[2] https://stackoverflow.com/questions/70867353/azure-access-token-comtains-info-that-i-thought-woulds-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token