Mã thông báo thông báo (JWT: RFC 7516) do Google phát hành để xác minh rằng phương thức gọi được uỷ quyền mã hoá hoặc giải mã tài nguyên.
Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) phải xác minh rằng người gọi được uỷ quyền mã hoá đối tượng (tệp hoặc tài liệu) trước khi gói khoá và giải mã khoá trước khi mở gói khoá DEK.
Mã thông báo uỷ quyền cho tính năng mã hoá phía máy khách (CSE) của Tài liệu và Drive, Lịch và Meet
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Phải được kiểm tra theo cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
email_type |
Chứa một trong các giá trị sau:
|
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực theo bộ trình phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị liên kết với vị trí tài liệu có thể được dùng để chọn chu vi sẽ được kiểm tra khi mở gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được mã hoá bằng DEK. Kích thước tối đa: 128 byte. |
role |
Chứa một trong các giá trị sau: |
Mã uỷ quyền cho CSE của Gmail
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Phải được kiểm tra theo cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
message_id |
Giá trị nhận dạng cho thông báo mà quá trình giải mã hoặc ký được thực hiện. Được dùng làm lý do của khách hàng cho mục đích kiểm tra. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực theo bộ trình phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị liên kết với vị trí tài liệu có thể được dùng để chọn chu vi cần kiểm tra khi mở gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được mã hoá bằng DEK. Kích thước tối đa: 512 byte. |
role |
Chứa một trong các giá trị sau:
|
spki_hash |
Checksum được mã hoá base64 chuẩn của |
spki_hash_algorithm |
Thuật toán dùng để tạo |
Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Phải được kiểm tra theo cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực theo bộ trình phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
role |
Chứa một trong các giá trị sau: |