การเรียกร้องทั่วไปที่พบในโทเค็น Azure Ad OAuth รวมถึงสิ่งต่อไปนี้:
* AUD (ผู้ชม): สิ่งนี้ระบุผู้รับโทเค็นที่ตั้งใจไว้ซึ่งสำหรับ Azure AD B2C คือ ID แอปพลิเคชัน แอปพลิเคชันควรตรวจสอบค่านี้เพื่อให้แน่ใจว่าตรงกับ ID ของพวกเขาและปฏิเสธโทเค็นหากไม่ได้ [3] ผู้ชมมีความหมายเหมือนกันกับทรัพยากร [3]
* ISS (ผู้ออก): การเรียกร้องนี้ระบุบริการรักษาความปลอดภัยโทเค็น (STS) ที่สร้างและส่งคืนโทเค็นและยังระบุไดเรกทอรีที่ผู้ใช้ได้รับการรับรองความถูกต้อง แอปพลิเคชันควรตรวจสอบการเรียกร้องนี้เพื่อให้แน่ใจว่าโทเค็นมาจากจุดสิ้นสุดที่เหมาะสม [3]
* IAT (ออกที่): นี่แสดงถึงเวลาที่ออกโทเค็นในช่วงเวลา [3]
* exp (เวลาหมดอายุ): สิ่งนี้บ่งบอกถึงเวลาที่โทเค็นกลายเป็นไม่ถูกต้องแสดงในช่วงเวลา แอปพลิเคชันควรใช้การเรียกร้องนี้เพื่อตรวจสอบความถูกต้องของอายุการใช้งานโทเค็น [3]
* NBF (ไม่ใช่ก่อน): การเรียกร้องนี้ระบุเวลาที่โทเค็นกลายเป็นสิ่งที่ถูกต้องในช่วงเวลา มันมักจะเหมือนกับเวลาที่โทเค็นออกและใบสมัครของคุณควรใช้การเรียกร้องนี้เพื่อตรวจสอบความถูกต้องของอายุการใช้งานโทเค็น [3]
* ver (เวอร์ชัน): สิ่งนี้ระบุเวอร์ชันของโทเค็น ID ตามที่กำหนดโดย Azure ad B2C [3]
* c_hash (แฮชรหัส): รวมอยู่ในโทเค็น ID เฉพาะเมื่อโทเค็นออกพร้อมกับรหัสการอนุญาต OAuth 2.0 สามารถใช้เพื่อตรวจสอบความถูกต้องของรหัสการอนุญาต [3]
* AT_HASH (แฮชโทเค็นการเข้าถึง): รวมอยู่ในโทเค็น ID เฉพาะเมื่อโทเค็นออกร่วมกับโทเค็นการเข้าถึง OAuth 2.0 และใช้เพื่อตรวจสอบความถูกต้องของโทเค็นการเข้าถึง [3]
* Nonce: กลยุทธ์ที่ใช้ในการลดการโจมตีแบบเล่นซ้ำโทเค็น แอปพลิเคชันของคุณสามารถระบุ nonce ในคำขอการอนุญาตโดยใช้พารามิเตอร์ `nonce` parameter ค่าที่คุณให้ไว้ในคำขอจะถูกปล่อยออกมาโดยไม่มีการแก้ไขในการเรียกร้องค่าโทเค็น ID เท่านั้น [3]
* ย่อย (หัวเรื่อง): การเรียกร้องนี้แสดงถึงเงินต้นเกี่ยวกับโทเค็นที่อ้างถึงข้อมูลเช่นผู้ใช้แอปพลิเคชัน ค่าไม่เปลี่ยนรูปและไม่สามารถกำหนดใหม่หรือนำกลับมาใช้ใหม่ได้ สามารถใช้ในการตรวจสอบการอนุญาตอย่างปลอดภัย โดยค่าเริ่มต้นการเรียกร้องเรื่องจะถูกเติมด้วย ID วัตถุของผู้ใช้ในไดเรกทอรี [3]
* ACR (การอ้างอิงคลาสบริบทการรับรองความถูกต้อง): ใช้กับนโยบายที่เก่ากว่าเท่านั้น [3]
* TFP (นโยบายกรอบความน่าเชื่อถือ): ชื่อของนโยบายที่ใช้ในการรับโทเค็น ID [3]
* Auth \ _Time: เวลาที่ผู้ใช้ป้อนข้อมูลประจำตัวครั้งสุดท้ายซึ่งแสดงในช่วงเวลายุค ไม่มีการเลือกปฏิบัติระหว่างการรับรองความถูกต้องนั้นเป็นเซสชันการลงชื่อเข้าใช้ครั้งเดียว (SSO) หรือประเภทอื่นลงชื่อเข้าใช้ [3]
* SCP (ขอบเขต): นี่หมายถึงการอนุญาตที่มอบให้กับทรัพยากรสำหรับโทเค็นการเข้าถึง การอนุญาตที่ได้รับหลายครั้งจะถูกคั่นด้วยพื้นที่ [3]
* AZP (บุคคลที่ได้รับอนุญาต): รหัสแอปพลิเคชันของแอปพลิเคชันไคลเอนต์ที่เริ่มคำขอ [3]
* OID: การเรียกร้องนี้มีตัวระบุที่ไม่ซ้ำกันของวัตถุใน Azure AD นั้นไม่เปลี่ยนรูปและไม่สามารถกำหนดใหม่หรือนำกลับมาใช้ใหม่ได้ มันสามารถใช้เพื่อระบุวัตถุในการสืบค้นไปยัง Azure AD [1]
การอ้างอิง:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-azure-ad-tokens-can-be-safely-use-for-user-mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-though-would-be-in-the-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/Identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token