Bežné tvrdenia, ktoré sa nachádzajú v Azure ad Oauth tokens, obsahujú nasledujúce:
* Aud (publikum): Toto identifikuje zamýšľaného príjemcu tokenu, ktorý je pre Azure Ad B2C ID aplikácie. Aplikácie by mali potvrdiť túto hodnotu, aby sa zabezpečilo, že zodpovedá ich ID a odmietnuť token, ak to tak nie je [3]. Publikum je synonymom zdroja [3].
* ISS (Emisting): Tento nárok identifikuje službu Token Security Token (STS), ktorá vytvorila a vrátila token, a tiež identifikuje adresár, v ktorom bol užívateľ overený. Žiadosti by mali potvrdiť tento nárok na zabezpečenie toho, aby token pochádza z príslušného koncového bodu [3].
* IAT (vydané na): To predstavuje čas, v ktorom bol token vydaný, v epochovom čase [3].
* Exp (čas vypršania platnosti): To znamená, že čas, v ktorom sa token stane neplatným, zastúpeným v epochovom čase. Aplikácie by mali použiť tento nárok na overenie platnosti životnosti tokenov [3].
* NBF (nie skôr): Tento nárok špecifikuje čas, v ktorom sa token stáva platným, v epochovom čase. Zvyčajne je to rovnaké ako v čase vydania tokenu a vaša žiadosť by mala použiť tento nárok na overenie platnosti životnosti tokenov [3].
* ver (verzia): To označuje verziu tokenu ID, ako je definované v Azure AD B2C [3].
* C_HASH (Hash Code): Zahrnutý do tokenu ID iba vtedy, keď je token vydaný spolu s autorizačným kódom OAUTH 2.0. Môže sa použiť na overenie pravosti autorizačného kódu [3].
* At_hash (Access Token Hash): Zahrnutý do tokenu ID iba vtedy, keď sa token vydáva spolu s prístupovým tokenom OAuth 2.0 a používa sa na overenie pravosti prístupového tokenu [3].
* Nonce: Stratégia použitá na zmiernenie útokov na prehrávanie tokenov. Vaša aplikácia môže zadať Nonce v žiadosti o autorizáciu pomocou parametra `nonce`. Hodnota, ktorú v žiadosti poskytnete v žiadosti, je emitovaná neobvyklá v nároku „nonce“ iba na ID token [3].
* Sub (subjekt): Toto tvrdenie predstavuje príkazcu, o ktorom token uplatňuje informácie, napríklad používateľ aplikácie. Hodnota je nemenná a nedá sa prehodnotiť alebo znovu použiť. Môže sa použiť na bezpečné vykonávanie kontrol autorizácie. V predvolenom nastavení je nárok predmetu naplnený ID objektu používateľa v adresári [3].
* ACR (referencia autentifikačnej kontextovej triedy): Používa sa iba so staršími politikami [3].
* TFP (Politika Trust Framework): Názov politiky, ktorý sa použil na získanie tokenu ID [3].
* Auth \ _time: Čas, keď používateľ naposledy zadal poverenia, zastúpený v epochovom čase. Neexistuje žiadna diskriminácia medzi týmto autentifikáciou, že je čerstvé prihlásenie, reláciou jedného prihlásenia (SSO) alebo iným typom prihlásenia [3].
* SCP (rozsah): To sa týka povolení udelených zdroju pre prístupový token. Viacnásobné udelené povolenia sú oddelené priestorom [3].
* AZP (autorizovaná strana): ID aplikácie aplikácie klienta, ktorá iniciovala žiadosť [3].
* OID: Toto tvrdenie obsahuje jedinečný identifikátor objektu v Azure AD, je nemenný a nedá sa prehodnotiť alebo znovu použiť. Môže sa použiť na identifikáciu objektu v dopytoch na Azure AD [1].
Citácie:
[1] https://stackoverflow.com/questions/40972416/what-jwt-clars-from-azure-ad-tokens-can-bea-safely-used-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-tought-wought-would-be--in-the-id-the-id-token-and-vi-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-preview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-clars-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-hen-hen-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claits-reference
[8] https://www.descope.com/blog/post/access-topoken-vs-refresh-topen