Azonosító jogkivonatok a Microsoft Identitásplatform

Az engedélyezési kiszolgáló olyan azonosító jogkivonatokat ad ki, amelyek a felhasználó adatait tartalmazó jogcímeket tartalmaznak. Ezek a hozzáférési jogkivonatok mellett vagy helyett is elküldhetők. Az azonosító jogkivonatokban található információk lehetővé teszik az ügyfél számára annak ellenőrzését, hogy egy felhasználó az, akinek állítja magát.

A külső alkalmazások az azonosító jogkivonatok megértésére szolgálnak. Az azonosító jogkivonatokat nem szabad engedélyezési célokra használni. A hozzáférési jogkivonatok az engedélyezéshez használatosak. Az azonosító jogkivonatok által biztosított jogcímek az alkalmazáson belüli UX-hez használhatók kulcsként az adatbázisban, és hozzáférést biztosítanak az ügyfélalkalmazáshoz. Az azonosító jogkivonatban használt jogcímekkel kapcsolatos további információkért tekintse meg az azonosító jogkivonat jogcímeinek hivatkozását. A jogcímalapú engedélyezéssel kapcsolatos további információkért lásd : Biztonságos alkalmazások és API-k a jogcímek érvényesítésével.

Jogkivonat-formátumok

Az azonosító jogkivonatok két verziója érhető el a Microsoft Identitásplatform: 1.0-s és 2.0-s verzió. Ezek a verziók határozzák meg a jogkivonatban lévő jogcímeket. Az 1.0-s és a 2.0-s verziójú azonosító jogkivonatok különbségeket tartalmaznak az általuk hordozott információk között. A verzió azon a végponton alapul, ahonnan a kérelmet kérték. Az új alkalmazásoknak a 2.0-s verziót kell használniuk.

• 1\.0-s verzió: https://login.microsoftonline.com/common/oauth2/authorize
• 2.0-s verzió: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Minta 1.0-s azonosító jogkivonat

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Tekintse meg ezt a v1.0-s minta jogkivonatot jwt.ms.

Minta 2.0-s azonosító jogkivonat

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.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.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Tekintse meg ezt a v2.0-s minta jogkivonatot a jwt.ms.

A tokenek élettartama

Az azonosító jogkivonat alapértelmezés szerint egy óráig érvényes – egy óra elteltével az ügyfélnek új azonosító jogkivonatot kell beszereznie.

Az azonosító jogkivonat élettartamának módosításával szabályozhatja, hogy az ügyfélalkalmazás milyen gyakran jár le az alkalmazás munkamenetében, és hogy milyen gyakran kell a felhasználónak újra hitelesítenie magát csendben vagy interaktívan. További információkért olvassa el a Konfigurálható jogkivonat élettartamát.

Jogkivonatok érvényesítése

Az azonosító jogkivonat érvényesítéséhez az ügyfél ellenőrizheti, hogy illetéktelenül módosították-e a jogkivonatot. Emellett ellenőrizheti a kiállítót, hogy a megfelelő kiállító visszaküldte-e a jogkivonatot. Mivel az azonosító jogkivonatok mindig JWT-jogkivonatok, számos kódtár létezik ezeknek a jogkivonatoknak az érvényesítéséhez – ezeket a kódtárakat érdemes használnia ahelyett, hogy saját maga végzi el. Csak a bizalmas ügyfelek érvényesítsék az azonosító jogkivonatokat. További információ: Biztonságos alkalmazások és API-k jogcímek érvényesítésével.

A nyilvános alkalmazások (teljes egészében olyan eszközön vagy hálózaton futó kód, amely nem szabályozható, például a felhasználó böngészője vagy az otthoni hálózata) nem élvezhetik az azonosító jogkivonat érvényesítését. Ebben az esetben a rosszindulatú felhasználók elfoghatják és szerkeszthetik a jogkivonat érvényesítéséhez használt kulcsokat.

A következő JWT-jogcímeket ellenőrizni kell az azonosító jogkivonatban, miután érvényesítette az aláírást a jogkivonaton. A jogkivonat-érvényesítési kódtár a következő jogcímeket is érvényesítheti:

• Időbélyegek: a iat, nbf, és exp időbélyegek az aktuális idő előtt vagy után kell esniük, adott esetben.
• Célközönség: a aud jogcímnek meg kell egyeznie az alkalmazás alkalmazásazonosítójával.
• Nonce: a hasznos adat jogcímének nonce meg kell egyeznie a végpontnak a /authorize kezdeti kérés során átadott nemce paraméterrel.

Lásd még

• Azonosító jogkivonat jogcímeinek referenciája
• Az OAuth 2.0 és az OpenID Connect protokoll
• Választható jogcímek

Következő lépések

• Tekintse át az OpenID Csatlakozás folyamatot, amely meghatározza az azonosító jogkivonatot kibocsátó protokollokat.