Google 核發的權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權加密或解密資源。
為避免濫用,Key Access Control List Service (KACLS) 應驗證呼叫端是否有權在包裝金鑰前加密物件 (檔案或文件),並在解開 DEK 前解密。
文件和雲端硬碟、日曆和 Meet 用戶端加密 (CSE) 的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
email_type |
包含下列其中一個值:
|
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據信任的驗證發出者組合進行驗證。 |
kacls_url |
已設定的基底 KACLS 網址,用於防止中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相關聯的值,可用於選擇在展開時要檢查的邊界。大小上限:128 位元組。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:128 位元組。 |
role |
包含下列其中一個值: |
Gmail CSE 的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
發卡時間。 |
message_id |
要執行解密或簽署作業的訊息 ID。用於記錄客戶原因,以利審計。 |
iss |
權杖核發者。應根據信任的驗證發出者組合進行驗證。 |
kacls_url |
已設定的基底 KACLS 網址,用於防止中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相關聯的值,可用於在展開時選擇要檢查的邊界。大小上限:128 位元組。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:512 位元組。 |
role |
包含下列其中一個值:
|
spki_hash |
要存取的私密金鑰的 DER 編碼 |
spki_hash_algorithm |
用於產生 |
KACLS 遷移服務的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據信任的驗證發出者組合進行驗證。 |
kacls_url |
已設定的基底 KACLS 網址,用於防止中間人 (PITM) 攻擊。 |
role |
包含下列其中一個值: |