Az Azure ad oauth tokenekben talált általános állítások a következőket tartalmazzák:
* AUD (közönség): Ez azonosítja a token szándékos címzettjét, amely az Azure AD B2C esetében az alkalmazás azonosítója. Az alkalmazásoknak érvényesíteniük kell ezt az értéket annak biztosítása érdekében, hogy megfeleljen az azonosítójuknak, és elutasítsa a tokent, ha nem [3]. A közönség szinonimája az erőforrásnak [3].
* ISS (kibocsátó): Ez az állítás azonosítja a Token Biztonsági Token szolgáltatást (STS), amely a tokent építette és visszaadta, és azonosítja azt a könyvtárat is, ahol a felhasználót hitelesítették. A pályázatoknak érvényesíteniük kell ezt az állítást annak biztosítása érdekében, hogy a token a megfelelő végpontból származik [3].
* IAT (kiadva): Ez azt az időt képviseli, amikor a token kiadásra került, korszakban [3].
* EXP (Lejárati idő): Ez azt jelzi, hogy a token érvénytelen lesz, az EPOCH -ban képviselve. Az alkalmazásoknak ezt az állítást kell használniuk a token élettartamának érvényességének ellenőrzésére [3].
* NBF (nem korábban): Ez az állítás meghatározza azt az időt, amikor a token érvényesül, korszakban. Ez általában ugyanaz, mint a token kiadásakor, és kérelmének ezt az állítást használja a token élettartamának érvényességének ellenőrzésére [3].
* Ver (verzió): Ez jelzi az ID -token verzióját, az Azure AD B2C [3] meghatározása szerint.
* C_HASH (KÓD HASH): Az ID tokenben csak akkor szerepel, ha a tokent az OAuth 2.0 engedélyezési kóddal együtt adják ki. Használható az engedélyezési kód hitelességének érvényesítésére [3].
* AT_HASH (HASZNÁLATI HASZNÁLAT): Az ID tokenben csak akkor szerepel, ha a tokent egy OAuth 2.0 hozzáférési jogkivonattal együtt adják ki, és a hozzáférési jogkivonás hitelességének érvényesítésére használják [3].
* Nonce: egy stratégia a token visszajátszási támadások enyhítésére. Az alkalmazás megadhatja a NONCE -t egy engedélyezési kérésben a `nonce query paraméter használatával. A kérelemben megadott értéket csak az ID token „nonce” igénylésében módosítatlanul bocsátják ki [3].
* Sub (Tárgy): Ez az állítás azt a tőkét képviseli, amelyről a token információkat állít fel, például egy alkalmazás felhasználóját. Az érték változatlan, és nem lehet újra felhasználni vagy újra felhasználni. Használható az engedélyezési ellenőrzések biztonságos végrehajtására. Alapértelmezés szerint a tárgyigényt a könyvtárban található felhasználó objektumazonosítójával kell feltölteni [3].
* ACR (hitelesítési kontextus osztály referencia): Csak régebbi politikákkal használják [3].
* TFP (Trust Framework Policy): Az ID -token megszerzéséhez használt politika neve [3].
* Auth \ _time: Az az idő, amikor a felhasználó utoljára beírta a hitelesítő adatokat, az epoch idő alatt. Nincs diszkrimináció a hitelesítés friss bejelentkezése, egyetlen bejelentkezés (SSO) munkamenet vagy más bejelentkezési típus között [3].
* SCP (hatókör): Ez utal a hozzáférési jogkivitel forrásának nyújtott engedélyekre. A többszörös megadott engedélyeket egy tér választja el [3].
* AZP (felhatalmazott fél): A kérést kezdeményező ügyfélalkalmazás alkalmazás azonosítója [3].
* OID: Ez az állítás egy objektum egyedi azonosítóját tartalmazza az Azure AD -ben, változatlan, és nem lehet újra felhasználni vagy újra felhasználni. Használható egy objektum azonosítására az Azure AD -hez [1].
Idézetek:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-asafely-usus-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-athought-would-et-the-id-doken--vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-toke-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-touse-them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform
[8] https://www.descope.com/blog/post/access-toke-vs-refresh-token