Microsoft kimlik platformu kimlik belirteçleri

  • Makale

Yetkilendirme sunucusu, kullanıcı hakkında bilgi taşıyan talepler içeren kimlik belirteçleri verir. Bunlar bir erişim belirteci yerine veya yanında gönderilebilir. Kimlik belirteçlerindeki bilgiler, istemcinin bir kullanıcının iddia ettikleri kişi olduğunu doğrulamasını sağlar.

Üçüncü taraf uygulamaların kimlik belirteçlerini anlaması amaçlanmıştır. Kimlik belirteçleri yetkilendirme amacıyla kullanılmamalıdır. Erişim belirteçleri yetkilendirme için kullanılır. Kimlik belirteçleri tarafından sağlanan talepler, uygulamanızın içindeki UX için bir veritabanında anahtar olarak ve istemci uygulamasına erişim sağlamak için kullanılabilir. Kimlik belirtecinde kullanılan talepler hakkında daha fazla bilgi için bkz . Kimlik belirteci talep başvurusu. Talep tabanlı yetkilendirme hakkında daha fazla bilgi için bkz . Talepleri doğrulayarak uygulamaların ve API'lerin güvenliğini sağlama.

Belirteç biçimleri

Microsoft kimlik platformu kimlik belirteçlerinin iki sürümü vardır: v1.0 ve v2.0. Bu sürümler belirteçteki talepleri belirler. v1.0 ve v2.0 kimlik belirteçlerinin taşıdığı bilgilerde farklılıklar vardır. Sürüm, istenen uç noktayı temel alır. Yeni uygulamalar v2.0 kullanmalıdır.

  • v1.0: https://login.microsoftonline.com/common/oauth2/authorize
  • v2.0: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Örnek v1.0 Kimlik belirteci

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Bu v1.0 örnek belirtecini jwt.ms görüntüleyin.

Örnek v2.0 Kimlik belirteci

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.eyJ2ZXIiOiIyLjAiLCJpc3MiOiJodHRwczovL2xvZ2luLm1pY3Jvc29mdG9ubGluZS5jb20vOTEyMjA0MGQtNmM2Ny00YzViLWIxMTItMzZhMzA0YjY2ZGFkL3YyLjAiLCJzdWIiOiJBQUFBQUFBQUFBQUFBQUFBQUFBQUFJa3pxRlZyU2FTYUZIeTc4MmJidGFRIiwiYXVkIjoiNmNiMDQwMTgtYTNmNS00NmE3LWI5OTUtOTQwYzc4ZjVhZWYzIiwiZXhwIjoxNTM2MzYxNDExLCJpYXQiOjE1MzYyNzQ3MTEsIm5iZiI6MTUzNjI3NDcxMSwibmFtZSI6IkFiZSBMaW5jb2xuIiwicHJlZmVycmVkX3VzZXJuYW1lIjoiQWJlTGlAbWljcm9zb2Z0LmNvbSIsIm9pZCI6IjAwMDAwMDAwLTAwMDAtMDAwMC02NmYzLTMzMzJlY2E3ZWE4MSIsInRpZCI6IjkxMjIwNDBkLTZjNjctNGM1Yi1iMTEyLTM2YTMwNGI2NmRhZCIsIm5vbmNlIjoiMTIzNTIzIiwiYWlvIjoiRGYyVVZYTDFpeCFsTUNXTVNPSkJjRmF0emNHZnZGR2hqS3Y4cTVnMHg3MzJkUjVNQjVCaXN2R1FPN1lXQnlqZDhpUURMcSFlR2JJRGFreXA1bW5PcmNkcUhlWVNubHRlcFFtUnA2QUlaOGpZIn0.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Bu v2.0 örnek belirtecini jwt.ms görüntüleyin.

Belirteç ömrü

Varsayılan olarak, kimlik belirteci bir saat geçerlidir; bir saat sonra istemcinin yeni bir kimlik belirteci alması gerekir.

bir kimlik belirtecinin ömrünü, istemci uygulamasının uygulama oturumunun ne sıklıkta sona ereceğini ve kullanıcının sessiz veya etkileşimli olarak yeniden kimlik doğrulamasını ne sıklıkta gerektirdiğini denetlemek için ayarlayabilirsiniz. Daha fazla bilgi için Bkz . Yapılandırılabilir belirteç ömrü.

Belirteçleri doğrulama

Bir kimlik belirtecini doğrulamak için, istemciniz belirtecin üzerinde oynanıp oynanmadığını denetleyebilir. Ayrıca doğru verenin belirteci geri gönderdiğinden emin olmak için vereni doğrulayabilir. Kimlik belirteçleri her zaman bir JWT belirteci olduğundan, bu belirteçleri doğrulamak için birçok kitaplık vardır. Bunu kendiniz yapmak yerine bu kitaplıklardan birini kullanmalısınız. Yalnızca gizli istemciler kimlik belirteçlerini doğrulamalıdır. Daha fazla bilgi için bkz . Talepleri doğrulayarak uygulamaların ve API'lerin güvenliğini sağlama.

Genel uygulamalar (tamamen bir cihazda veya kullanıcının tarayıcısı veya ev ağı gibi denetlemediğiniz bir ağda çalışan kod), kimlik belirtecini doğrulama avantajından yararlanmaz. Bu örnekte, kötü amaçlı bir kullanıcı belirtecin doğrulanması için kullanılan anahtarları kesebilir ve düzenleyebilir.

Aşağıdaki JWT talepleri, belirteçteki imza doğrulandıktan sonra kimlik belirtecinde doğrulanmalıdır. Belirteç doğrulama kitaplığınız aşağıdaki talepleri de doğrulayabilir:

  • Zaman damgaları: iat, nbfve exp zaman damgalarının tümü geçerli saatten önce veya sonra uygun şekilde düşmelidir.
  • hedef kitle: Talep, aud uygulamanızın uygulama kimliğiyle eşleşmelidir.
  • Nonce: Yükteki talep, nonce ilk istek sırasında uç noktaya geçirilen /authorize nonce parametresiyle eşleşmelidir.

Ayrıca bkz.

Sonraki adımlar