不記名權杖 (JWT: RFC 7516) 驗證呼叫端是否已獲得授權,可加密或解密。 資源
為了避免濫用,金鑰存取控制清單服務 (KACLS) 應驗證 呼叫端獲得授權,可加密物件 (檔案或文件), ,在解除 DEK 包裝前,先包裝金鑰並解密。
Google 文件與雲端硬碟、日曆和 Meet 用戶端加密 (CSE)
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 辨識的目標對象。依據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
email_type |
包含下列其中一個值:
|
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。針對一組信任的驗證核發機構進行驗證。 |
kacls_url |
設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 連結至文件位置的值,可用於選擇解除包裝時要檢查的周長。大小上限:128 個位元組。 |
resource_name |
DEK 加密的物件 ID。大小上限:128 個位元組。 |
role |
包含下列其中一個值: |
Gmail CSE 的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 欄位 | |
|---|---|
aud |
Google 辨識的目標對象。依據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
核發時間。 |
message_id |
解密或簽署的郵件 ID 執行指令做為稽核用途的用戶端原因。 |
iss |
權杖核發者。針對一組信任的驗證核發機構進行驗證。 |
kacls_url |
設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 連結至文件位置的值,可用於選擇解除包裝時要檢查的周長。大小上限:128 個位元組。 |
resource_name |
DEK 加密的物件 ID。大小上限:512 個位元組。 |
role |
包含下列其中一個值:
|
spki_hash |
存取私密金鑰的 DER 編碼 |
spki_hash_algorithm |
用來產生 |
KACLS 遷移服務的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 辨識的目標對象。依據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。針對一組信任的驗證核發機構進行驗證。 |
kacls_url |
設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。 |
role |
包含下列其中一個值: |