Token otorisasi

Token pembawa (JWT: RFC 7516) yang dikeluarkan oleh Google untuk memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi atau mendekripsi resource.

Untuk mencegah penyalahgunaan, {i>Key Access Control List Service <i} (KACLS) harus memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi objek (file atau dokumen) sebelum membungkus kunci dan membongkar enkripsinya sebelum membuka DEK.

Token otorisasi untuk Dokumen & Enkripsi sisi klien (CSE) Drive, Kalender, dan Meet

Representasi JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Kolom
aud

string

Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa berdasarkan konfigurasi lokal.

email

string (UTF-8)

Alamat email pengguna.

email_type

string

Berisi salah satu nilai berikut:

  • google: Email ini milik Akun Google.
  • google-visitor: Email ini bukan milik Akun Google, tapi apakah PIN-nya diverifikasi oleh Google.
  • customer-idp: Email ini bukan milik Akun Google, tetapi email pengguna diekstrak menggunakan IdP yang dikonfigurasi pelanggan.
  • Klaim dapat dibatalkan penetapannya; dalam hal ini nilai defaultnya adalah `google`.
exp

string

Waktu habis masa berlaku.

iat

string

Waktu penerbitan.

iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi yang tepercaya.

kacls_url

string

URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM).

perimeter_id

string (UTF-8)

(Opsional) Nilai yang terkait dengan lokasi dokumen yang dapat digunakan untuk memilih perimeter yang akan diperiksa saat pembukaan. Ukuran maksimum: 128 byte.

resource_name

string (UTF-8)

ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte.

role

string

Berisi salah satu nilai berikut:

  • reader: Hanya diizinkan untuk memanggil unwrap.
  • writer: Diizinkan memanggil wrap dan unwrap

Token otorisasi untuk CSE Gmail

Representasi JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Kolom
aud

string

Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa berdasarkan konfigurasi lokal.

email

string (UTF-8)

Alamat email pengguna.

exp

string

Waktu habis masa berlaku.

iat

string

Waktu penerbitan.

message_id

string

ID untuk pesan tempat dekripsi atau penandatanganan dilakukan. Digunakan sebagai alasan klien untuk tujuan audit.

iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi yang tepercaya.

kacls_url

string

URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM).

perimeter_id

string (UTF-8)

(Opsional) Nilai yang terkait dengan lokasi dokumen yang dapat digunakan untuk memilih perimeter yang diperiksa saat pembukaan. Ukuran maksimum: 128 byte.

resource_name

string (UTF-8)

ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 512 byte.

role

string

Berisi salah satu nilai berikut:

  • decrypter: Dapat mendekripsi.
  • signer: Dapat menandatangani.
spki_hash

string

Ringkasan berenkode base64 standar dari SubjectPublicKeyInfo kunci pribadi yang dienkode dengan DER sedang diakses.

spki_hash_algorithm

string

Algoritma yang digunakan untuk menghasilkan spki_hash. Dapat berupa SHA-256.

Token otorisasi untuk layanan migrasi KACLS

Representasi JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Kolom
aud

string

Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa berdasarkan konfigurasi lokal.

email

string (UTF-8)

Alamat email pengguna.

exp

string

Waktu habis masa berlaku.

iat

string

Waktu penerbitan.

iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi yang tepercaya.

kacls_url

string

URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM).

role

string

Berisi salah satu nilai berikut:

  • migrator: Hanya diizinkan untuk memanggil rewrap.
  • verifier: Hanya diizinkan untuk memanggil digest.