Token ID in Microsoft Identity Platform

Il server di autorizzazione rilascia token ID che contengono attestazioni che contengono informazioni sull'utente. Possono essere inviati insieme o al posto di un token di accesso. Le informazioni nei token ID consentono al client di verificare che un utente sia chi dichiara di essere.

Le applicazioni di terze parti sono destinate a comprendere i token ID. I token ID non devono essere usati a scopo di autorizzazione. I token di accesso vengono usati per l'autorizzazione. Le attestazioni fornite dai token ID possono essere usate per l'esperienza utente all'interno dell'applicazione, come chiavi in un database e fornendo l'accesso all'applicazione client. Per altre informazioni sulle attestazioni usate in un token ID, vedere informazioni di riferimento sulle attestazioni del token ID. Per altre informazioni sull'autorizzazione basata sulle attestazioni, vedere Proteggere le applicazioni e le API convalidando le attestazioni.

Formati del token

In Microsoft Identity Platform sono disponibili due versioni di token ID: v1.0 e v2.0. Queste versioni determinano le attestazioni presenti nel token. I token ID v1.0 e v2.0 presentano differenze nelle informazioni che contengono. La versione è basata sull'endpoint da cui è stato richiesto. Le nuove applicazioni devono usare la versione 2.0.

• v1.0: https://login.microsoftonline.com/common/oauth2/authorize
• v2.0: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Token ID v1.0 di esempio

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Questo token v1.0 di esempio viene visualizzato in jwt.ms.

Token ID v2.0 di esempio

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.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.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Questo token v2.0 di esempio viene visualizzato in jwt.ms.

Durata dei token

Per impostazione predefinita, un token ID è valido per un'ora, dopo un'ora, il client deve acquisire un nuovo token ID.

È possibile regolare la durata di un token ID per controllare la frequenza con cui l'applicazione client scade la sessione dell'applicazione e la frequenza con cui richiede all'utente di eseguire di nuovo l'autenticazione in modo automatico o interattivo. Per altre informazioni, vedere Durata dei token configurabili.

Convalidare i token

Per convalidare un token ID, il client può verificare se il token è stato manomesso. Può anche convalidare l'autorità emittente per assicurarsi che l'autorità emittente corretta abbia inviato il token. Poiché i token ID sono sempre un token JWT, molte librerie esistono per convalidare questi token. È consigliabile usare una di queste librerie anziché eseguirla manualmente. Solo i client riservati devono convalidare i token ID. Per altre informazioni, vedere Proteggere le applicazioni e le API convalidando le attestazioni.

Le applicazioni pubbliche (codice in esecuzione interamente in un dispositivo o in una rete che non si controlla, ad esempio il browser di un utente o la propria rete domestica) non traggono vantaggio dalla convalida del token ID. In questo caso, un utente malintenzionato può intercettare e modificare le chiavi usate per la convalida del token.

Le attestazioni JWT seguenti devono essere convalidate nel token ID dopo la convalida della firma nel token. La libreria di convalida dei token può anche convalidare le attestazioni seguenti:

• Timestamp: i timestamp iat, nbf e exp devono essere tutti registrati prima o dopo l'ora corrente, in base alle esigenze.
• Destinatario: l'attestazione aud deve corrispondere all'ID app della propria applicazione.
• Nonce: l'attestazione nonce nel payload deve corrispondere al parametro nonce passato all'endpoint /authorize durante la richiesta iniziale.

Vedi anche

• Informazioni di riferimento sulle attestazioni del token ID
• Protocolli OAuth 2.0 e OpenID Connect
• Attestazioni facoltative

Passaggi successivi

• Esaminare il flusso di Connessione OpenID, che definisce i protocolli che generano un token ID.