توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر شده است.
| نمایندگی JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } | |
| فیلدها | |
|---|---|
aud | مخاطب، همانطور که توسط IdP شناسایی شده است. باید با پیکربندی محلی بررسی شود. |
email | آدرس ایمیل کاربر. |
exp | زمان انقضا. |
iat | زمان صدور. |
iss | صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود. |
google_email | یک ادعای اختیاری، برای استفاده زمانی که ادعای ایمیل در این JWT با شناسه ایمیل Google Workspace کاربر متفاوت است. این ادعا حاوی هویت ایمیل Google Workspace کاربر است. |
... | سرویس فهرست کنترل دسترسی کلید شما (KACLS) برای استفاده از هرگونه ادعای دیگر (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط آزاد است. |
کد احراز هویت KACLS برای PrivilegedUnwrap
توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر شده است.
این فقط در PrivilegedUnwrap استفاده می شود. در طول PrivilegedUnwrap ، اگر یک KACLS JWT به جای یک توکن تأیید هویت IDP استفاده شود، KACLS گیرنده باید ابتدا JWKS صادرکننده را واکشی کند، سپس امضای توکن را قبل از بررسی ادعاها تأیید کند.
| نمایندگی JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } | |
| فیلدها | |
|---|---|
aud | مخاطب، همانطور که توسط IdP شناسایی شده است. برای عملیات رمزگذاری سمت سرویس گیرنده Drive (CSE) |
exp | زمان انقضا. |
iat | زمان صدور. |
iss | صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود. باید با |
kacls_url | آدرس اینترنتی KACLS فعلی، که دادهها روی آن رمزگشایی میشوند. |
resource_name | یک شناسه برای شی رمزگذاری شده توسط DEK. حداکثر حجم: 128 بایت |
... | سرویس فهرست کنترل دسترسی کلید شما (KACLS) برای استفاده از هرگونه ادعای دیگر (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط آزاد است. |