Azure AD OAuthi žetoonides levinud väited sisaldavad järgmist:
* AUD (publik): see tuvastab sümboolse kavandatud saaja, mis Azure AD B2C jaoks on rakenduse ID. Rakendused peaksid selle väärtuse valideerima, et tagada, et see vastaks nende ID -le ja lükkab märgi tagasi, kui seda ei tee [3]. Publik on ressursi sünonüüm [3].
* ISS (emitent): see nõue määratleb märgi konstrueerinud ja tagastatud turvamärkide teenuse (STS) ning identifitseerib ka kataloogi, kus kasutaja autentifitseeriti. Rakendused peaksid seda väidet kinnitama, et tagada, et märk tuleks sobivast tulemusnäitajast [3].
* iat (välja antud): see tähistab ajajärgu aja jooksul, kui sümboolne välja anti [3].
* exp (aegumisaeg): see näitab, mil sümbool muutub kehtetuks, mis on esindatud ajastul. Rakendused peaksid seda väidet kasutama sümboolse eluea kehtivuse kontrollimiseks [3].
* NBF (mitte varem): see väide täpsustab ajajärgu ajal, mil märgi kehtib. Tavaliselt on see sama kui sümboolse väljaandmise aeg ja teie taotlus peaks seda nõuet kasutama märgi eluaegse kehtivuse kontrollimiseks [3].
* Ver (versioon): see näitab ID -märgi versiooni, nagu on määratlenud Azure AD B2C [3].
* C_HASH (koodi räsi): lisatakse ID -märgis ainult siis, kui sümbol väljastatakse koos OAuth 2.0 autoriseerimiskoodiga. Seda saab kasutada autoriseerimiskoodi autentsuse kinnitamiseks [3].
* AT_HASH (Access Token Hash): kaasatakse ID -märgis ainult siis, kui märgi väljastatakse koos OAuth 2.0 juurdepääsulubaga, ja seda kasutatakse juurdepääsuluba autentsuse valideerimiseks [3].
* Nonce: strateegia, mida kasutatakse märgistamise kordusrünnakute leevendamiseks. Teie rakendus saab autoriseerimistaotluses määratleda NOCE, kasutades parameetrit nonce `. Väärtus, mille teie päringus pakute, eraldub modifitseerimata ainult ID -märgi nõude osas [3].
* Sub (subjekt): see väide esindab põhimõtet, mille kohta märgi teave kinnitab, näiteks rakenduse kasutaja. Väärtus on muutumatu ja seda ei saa ümber nimetada ega uuesti kasutada. Seda saab kasutada autoriseerimiste kontrollimiseks ohutult. Vaikimisi on subjekti nõue asustatud kataloogis kasutaja objekti ID -ga [3].
* ACR (autentimise konteksti klassi viide): kasutatakse ainult vanemate poliitikatega [3].
* TFP (Usaldusraamistiku poliitika): ID -tokeni omandamiseks kasutatud poliitika nimi [3].
* Auth \ _Time: aeg, mil kasutaja viimati sisestas mandaadid, mis on esindatud ajastul. Selle autentimise, ühe sisselogimise (SSO) seansi või mõne muu sisselogimise tüübi vahel pole diskrimineerimist [3].
* SCP (ulatus): see viitab juurdepääsuluba ressursile antud lubadele. Mitu antud õigusi eraldab ruum [3].
* AZP (volitatud osapool): päringu algatanud kliendirakenduse ID [3].
* OID: see väide sisaldab objekti ainulaadset identifikaatorit Azure AD -s, see on muutumatu ja seda ei saa ümber nimetada ega uuesti kasutada. Seda saab kasutada objekti tuvastamiseks päringutes Azure AD [1].
Tsitaadid:
]
]
]
[4] https://www.descope.com/blog/post/noauth
]
]
]
[8] https://www.descope.com/blog/post/access-token-vs-refresh -token