避免 Azure AD 颁发的 JWT 令牌中的个人信息

Posted 2023-03-10

【中文标题】避免 Azure AD 颁发的 JWT 令牌中的个人信息

【英文标题】：Avoiding Personal information in the JWT Token issued by Azure AD

【发布时间】：2019-04-18 04:41:33

【问题描述】：

我一直在使用 OpenID Connect 工作流和 azure 活动目录并获取 ID 令牌，而 ID 令牌又是 JWT。解码 JWT 令牌我可以看到很少的个人信息属性 (PII)，例如名字、姓氏和电子邮件。有什么方法可以通知 Azure AD 避免将这些属性作为 JWT 令牌的一部分发送。

谢谢。

【参考方案1】：

Azure AD v2.0 默认不包含它们。见https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims

【讨论】：

我们需要遵守一些 PII 合规性，因为我们不能允许此信息出现在 JWT 令牌中。感谢您的链接，我将通过向应用添加可选声明来尝试一下。

您需要使用 Azure AD v2.0（我们建议您使用 MSAL 库，例如，在 .NET 中：MSAL.NET）

是的，使用 2.0 没有返回这些声明。谢谢大家