Azure ad oauth jetonlarında bulunan yaygın iddialar aşağıdakileri içerir:
* AUD (kitle): Bu, Azure AD B2C için uygulama kimliği olan jetonun amaçlanan alıcısını tanımlar. Uygulamalar, kimliklerine uyduğundan emin olmak ve yoksa jetonu reddetmesini sağlamak için bu değeri doğrulamalıdır [3]. İzleyici kaynak ile eş anlamlıdır [3].
* ISS (İhraççı): Bu talep, jetonu oluşturan ve döndüren Güvenlik Token Hizmetini (STS) tanımlar ve ayrıca kullanıcının doğrulandığı dizini tanımlar. Uygulamalar, jetonun uygun uç noktadan gelmesini sağlamak için bu iddiayı doğrulamalıdır [3].
* IAT (verilmiştir): Bu, jetonun çıkarıldığı süreyi temsil eder [3].
* exp (son kullanma süresi): Bu, jetonun geçersiz hale gelme süresini belirtir ve dönemde temsil edilir. Uygulamalar, belirteç ömrünün geçerliliğini doğrulamak için bu iddiayı kullanmalıdır [3].
* NBF (daha önce değil): Bu iddia, jetonun dönme zamanında geçerli olduğu zamanı belirtir. Genellikle jetonun verildiği zamanla aynıdır ve başvurunuz bu iddiayı belirteç ömrünün geçerliliğini doğrulamak için kullanmalıdır [3].
* ver (sürüm): Bu, Azure AD B2C [3] tarafından tanımlandığı gibi kimlik belirtecinin sürümünü gösterir.
* c_hash (kod karma): Bir kimlik jetonuna yalnızca jeton bir OAuth 2.0 yetkilendirme kodu ile birlikte verildiğinde dahil edilir. Bir yetkilendirme kodunun gerçekliğini doğrulamak için kullanılabilir [3].
* AT_HASH (Access Jeton Hash): Bir kimlik jetonuna yalnızca jeton bir OAuth 2.0 erişim belirteci ile birlikte verildiğinde ve bir erişim belirtecinin özgünlüğünü doğrulamak için kullanılır [3].
* nonce: Jeton tekrarlama saldırılarını azaltmak için kullanılan bir strateji. Uygulamanız, `` non 'sorgu parametresini kullanarak bir yetkilendirme isteğinde bir nonce belirleyebilir. Talepte verdiğiniz değer, yalnızca bir kimlik jetonunun `` nonc '' iddiasında değiştirilmez [3].
* sub (konu): Bu iddia, jetonun bir uygulamanın kullanıcısı gibi bilgileri iddia ettiği anaparayı temsil eder. Değer değişmez ve yeniden atanamaz veya yeniden kullanılamaz. Yetkilendirme kontrollerini güvenli bir şekilde gerçekleştirmek için kullanılabilir. Varsayılan olarak, konu talep dizindeki kullanıcının nesne kimliği ile doldurulur [3].
* ACR (kimlik doğrulama bağlam sınıfı referansı): Yalnızca eski politikalarla kullanılır [3].
* TFP (Güven Çerçeve Politikası): Kimlik jetonunu elde etmek için kullanılan politikanın adı [3].
* Auth \ _time: Bir kullanıcının en son kimlik bilgilerini girme süresi, dönme zamanında temsil edilir. Bu kimlik doğrulamasının yeni bir oturum açma, tek bir oturum açma (SSO) oturumu veya başka bir oturum açma türü arasında ayrımcılık yoktur [3].
* SCP (SCOPE): Bu, bir erişim belirtecinin kaynağına verilen izinleri ifade eder. Birden fazla izin verilen izinler bir boşlukla ayrılır [3].
* AZP (Yetkili Taraf): İsteği başlatan istemci uygulamasının uygulama kimliği [3].
* OID: Bu iddia, Azure AD'deki bir nesnenin benzersiz tanımlayıcısını içerir, değişmezdir ve yeniden atanamaz veya yeniden kullanılamaz. Azure AD [1] sorgularındaki bir nesneyi tanımlamak için kullanılabilir.
Alıntılar:
[1] https://stackoverflow.com/questions/40972416/what-jwt-claims-from-asure-ad-tokens-can-be-safely-us-for-User-Metpings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-thought-would-be-in-the-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-inctory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identity-platform/access-token-claims-reference
[6] https://auth0.com/blog/Refresh-tokens-what-ar-they-and-when-to-o--them/
[7] https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token