Esta página foi traduzida pela API Cloud Translation.

Tokens de autorização

Token do portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar de um recurso.

Para evitar abusos, o Key Access Control List Service (KACLS) deve verificar se o autor da chamada está autorizado a criptografar o objeto (arquivo ou documento) antes encapsulando e descriptografando a chave, antes de desencapsular a DEK.

Token de autorização para os apps Documentos e Criptografia do lado do cliente (CSE) no Drive, Agenda e Meet

Representação JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser verificado em relação à configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`email_type`	`string` Contém um dos seguintes valores: `google`: este e-mail pertence a uma Conta do Google. `google-visitor`: este e-mail não é de uma Conta do Google. mas o código PIN foi verificado pelo Google. `customer-idp`: este e-mail não é de uma Conta do Google. mas o e-mail do usuário foi extraído usando um IdP configurado pelo cliente. A reivindicação pode ser cancelada; Nesse caso, o valor padrão é "google".
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques person-in-the-middle (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro será verificado ao desencapsular. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Um identificador do objeto criptografado pela DEK. Tamanho máximo: 128 bytes.
`role`	`string` Contém um dos seguintes valores: `reader`: tem permissão para chamar apenas `unwrap`. `writer`: tem permissão para chamar `wrap` e `unwrap`.

Token de autorização para a CSE do Gmail

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representação JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser verificado em relação à configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`message_id`	`string` Um identificador da mensagem na qual a descriptografia ou antes da avaliação ser realizada. Usado como motivo do cliente para fins de auditoria.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques person-in-the-middle (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro será verificado ao desencapsular. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Um identificador do objeto criptografado pela DEK. Tamanho máximo: 512 bytes.
`role`	`string` Contém um dos seguintes valores: `decrypter`: pode descriptografar. `signer`: pode assinar.
`spki_hash`	`string` Resumo codificado em base64 padrão do `SubjectPublicKeyInfo` codificado em DER da chave privada que está sendo acessada.
`spki_hash_algorithm`	`string` Algoritmo usado para produzir `spki_hash`. Pode ser `SHA-256`.

Token de autorização para o serviço de migração KACLS

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser verificado em relação à configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques person-in-the-middle (PITM).
`role`	`string` Contém um dos seguintes valores: `migrator`: tem permissão para chamar apenas `rewrap`. `verifier`: tem permissão para chamar apenas `digest`.