Įprastos pretenzijos, aptinkamos „Azure ad oAuth“ žetonuose, yra šie:
* AUD (auditorija): Tai nustato numatytą prieigos rakto gavėją, kuris, „Azure AD B2C“, yra programos ID. Programos turėtų patvirtinti šią vertę, kad užtikrintų, jog ji atitiktų jų ID, ir atmesti prieigos raktą, jei jis to nedaro [3]. Auditorija yra išteklių sinonimas [3].
* ISS (emitentas): Šis teiginys nustato „Security Token Service“ (STS), kuri sukonstruota ir grąžino prieigos raktą, taip pat nustato katalogą, kuriame vartotojas buvo patvirtintas. Programos turėtų patvirtinti šį teiginį, kad būtų užtikrinta, jog prieigos raktas atsirado iš atitinkamo baigties [3].
* IAT (išduotas): tai parodo laiką, per kurį žetonas buvo išduotas, epochos laiku [3].
* EXP (galiojimo laikas): tai rodo laiką, per kurį žetonas tampa negaliojantis, vaizduojamas epochos laiku. Programos turėtų naudoti šį teiginį, kad patikrintų žetono gyvenimo laikotarpio galiojimą [3].
* NBF (ne anksčiau): Šis teiginys nurodo laiką, per kurį epochos laikas tampa galiojantis. Paprastai tai yra tas pats laikas, kai buvo išleistas prieigos raktas, ir jūsų paraiška turėtų naudoti šį teiginį, kad patikrintų ženklo gyvenimo laikotarpio galiojimą [3].
* VER (versija): Tai nurodo ID žetono versiją, kaip apibrėžta „Azure AD B2C“ [3].
* C_HASH (kodo maiša): įtrauktas į ID žetoną tik tada, kai išleidžiamas žetonas kartu su „OAuth 2.0“ autorizacijos kodu. Jis gali būti naudojamas patvirtinti autorizacijos kodekso autentiškumą [3].
* AT_HASH (prieigos prieigos rakto maiša): įtrauktas į ID žetoną tik tada, kai išleidžiamas žetonas kartu su „OAuth 2.0“ prieigos raktu, ir naudojamas patvirtinti prieigos rakto autentiškumą [3].
* NonCe: strategija, naudojama sušvelninti žetonų pakartojimų atakas. Jūsų programa gali nurodyti NONCE autorizacijos užklausoje, naudodama „nonce“ užklausos parametrą. Vertė, kurią pateikiate užklausoje, yra išmetama nemodifikuota tik „Nonce“ ieškinyje dėl ID žetono [3].
* Sub (subjektas): Šis teiginys atspindi pagrindinę sumą, apie kurį prieigos raktas gina informaciją, pavyzdžiui, programos vartotoją. Vertė yra nekintama ir negali būti paskirta ar pakartotinai panaudota. Jis gali būti naudojamas saugiai atlikti autorizacijos patikrinimus. Pagal numatytuosius nustatymus tema pretenzija yra užpildyta vartotojo objekto ID kataloge [3].
* ACR (autentifikavimo konteksto klasės nuoroda): naudojama tik su senesne politika [3].
* TFP (pasitikėjimo pagrindų politika): Politikos, kuri buvo naudojama ID ženklo įgijimui, pavadinimas [3].
* Auth \ _Time: Laikas, per kurį vartotojas paskutinį kartą įvedė kredencialus, vaizduojamas epochos metu. Nėra diskriminacijos, kai autentifikavimas yra naujas prisijungimas, vieno prisijungimo (SSO) sesija ar kitas prisijungimo tipas [3].
* SCP (apimtis): Tai reiškia leidimus, suteiktus šaltiniui prieigos raktą. Keli suteikiami leidimai yra atskirti erdve [3].
* AZP (įgaliotas šalis): kliento programos, inicijavusios užklausą, programos ID [3].
* OID: Šiame teiginyje yra unikalus objekto identifikatorius Azure AD, yra nekintamas ir negali būti paskirtas ar pakartotinai panaudotas. Jis gali būti naudojamas nustatant „Azure AD“ užklausų objektą [1].
Citatos:
[1] https://stackoverflow.com/questions/40972416/what-jwt-laims-from-azure-ad-tokens-can-be-safely-naudojamas už muser-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-mught-would-be-in-ide-taken-and Vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-oveView.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens- what-are-heey-fal-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token