Поширені претензії, що знаходяться в токенах AOATH AD OAuth, включають наступне:
* Aud (аудиторія): Це визначає призначеного одержувача маркера, який для Azure AD B2C є ідентифікатором програми. Заявки повинні підтвердити це значення, щоб переконатися, що воно відповідає їх ідентифікатору та відхилити маркер, якщо він не буде [3]. Аудиторія є синонімом ресурсу [3].
* ISS (емітент): Ця претензія визначає послугу маркера безпеки (STS), яка побудувала та повернув маркер, а також визначає каталог, де користувач був автентифікований. Заявки повинні підтвердити цю претензію на те, щоб маркер надійшов з відповідної кінцевої точки [3].
* IAT (видано за адресою): Це являє собою час, коли було видано маркер, в епоху [3].
* Exp (час закінчення терміну дії): Це вказує на час, коли маркер стає недійсним, представленим у епох. Заявки повинні використовувати цю претензію для перевірки обгрунтованості терміну експлуатації маркера [3].
* NBF (не раніше): Ця претензія визначає час, коли маркер стає дійсним, в епох. Зазвичай це те саме, що був випущений жетон, і ваша заявка повинна використовувати цю претензію для перевірки дійсності терміну експлуатації маркера [3].
* ver (версія): Це вказує на версію маркера ідентифікатора, як визначено Azure ad b2c [3].
* C_HASH (HASH CODE): Включений у маркер ідентифікатора лише тоді, коли маркер видається разом з кодом авторизації OAuth 2.0. Він може бути використаний для підтвердження справжності коду авторизації [3].
* at_hash (хеш -маркер доступу): включений у маркер ідентифікатора лише тоді, коли маркер видається разом з маркером доступу OAuth 2.0 та використовується для підтвердження справжності маркера доступу [3].
* Nonce: стратегія, яка використовується для пом'якшення атак для відтворення токенів. Ваша програма може вказати NONE у запиті на авторизацію за допомогою параметра запиту `nonce`. Значення, яке ви надаєте у запиті, випромінюється немодифікованою у претензії "Nonce`" лише токена ідентифікатора [3].
* sub (тема): Ця заява представляє основну частину, про яку маркер стверджує інформацію, наприклад, користувач програми. Значення незмінне і не може бути перепризначене або повторно використане. Він може бути використаний для безпечного проведення авторизаційних перевірок. За замовчуванням претензія суб'єкта заповнюється ідентифікатором об'єкта користувача в каталозі [3].
* ACR (Довідка класу контексту аутентифікації): використовується лише для старих політик [3].
* TFP (політика довіри рамки): назва політики, яка була використана для придбання маркера ідентифікатора [3].
* auth \ _time: час, коли користувач востаннє ввів облікові дані, представлений в епох. Немає дискримінації між тим, як аутентифікація є свіжим входом, одним сеансом входу (SSO) або іншим типом входу [3].
* SCP (сфера застосування): Це стосується дозволів, наданих ресурсу для маркера доступу. Кілька наданих дозволів розділені простором [3].
* AZP (уповноважена сторона): Ідентифікатор заявки на клієнтську програму, яка ініціювала запит [3].
* OID: Ця претензія містить унікальний ідентифікатор об'єкта в Azure AD, є незмінною і не може бути перепризначена або повторно використана. Він може бути використаний для ідентифікації об'єкта у запитах Azure AD [1].
Цитати:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-safely-sovefor-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-thudge-would-be-in-y-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token