अनुमति देने वाले टोकन

बेयरर टोकन (JWT: RFC 7516) इसे Google की ओर से जारी किया गया है, ताकि यह पुष्टि की जा सके कि कॉलर को एन्क्रिप्ट या डिक्रिप्ट करने की अनुमति है कोई संसाधन.

गलत इस्तेमाल को रोकने के लिए, पासकोड ऐक्सेस कंट्रोल लिस्ट सर्विस (KACLS) को पुष्टि करनी चाहिए कि कॉलर से पहले ऑब्जेक्ट (फ़ाइल या दस्तावेज़) को एन्क्रिप्ट करने के लिए कुंजी को रैप करना और DEK को खोलने से पहले उसे डिक्रिप्ट करना.

Docs और Drive, Calendar, और Meet की क्लाइंट-साइड एन्क्रिप्शन (सीएसई)

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
फ़ील्ड
aud

string

Google ने इन ऑडियंस की पहचान की है. इसकी जांच लोकल कॉन्फ़िगरेशन के हिसाब से की जानी चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

email_type

string

इनमें से कोई एक वैल्यू शामिल होती है:

  • google: यह ईमेल पता, Google खाते का है.
  • google-visitor: यह ईमेल पता किसी Google खाते का नहीं है, लेकिन Google ने पिन-कोड की पुष्टि की थी.
  • customer-idp: यह ईमेल पता किसी Google खाते का नहीं है, उपयोगकर्ता का ईमेल पता, ग्राहक के कॉन्फ़िगर किए गए आईडीपी (IdP) की मदद से निकाला गया.
  • दावा हटाया जा सकता है; इस मामले में डिफ़ॉल्ट वैल्यू `google` होती है.
exp

string

खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

iss

string

टोकन जारी करने वाला. इसे, पुष्टि करने वाली कंपनियों के भरोसेमंद सेट के आधार पर पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किए गए KACLS के बेस यूआरएल का इस्तेमाल, पर्सन इन द मिडल (पीआईटीएम) के हमलों को रोकने के लिए किया जाता है.

perimeter_id

string (UTF-8)

(ज़रूरी नहीं) दस्तावेज़ की जगह से जुड़ी वैल्यू, जिसका इस्तेमाल यह चुनने के लिए किया जा सकता है कि अनरैप करने पर किस पेरीमीटर की जांच की जाएगी. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

resource_name

string (UTF-8)

डीईके से एन्क्रिप्ट (सुरक्षित) किए गए ऑब्जेक्ट के लिए आइडेंटिफ़ायर. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

role

string

इनमें से कोई एक वैल्यू शामिल होती है:

  • reader: सिर्फ़ unwrap को कॉल करने की अनुमति है.
  • writer: wrap और unwrap, दोनों को कॉल करने की अनुमति है

Gmail सीएसई (क्लाइंट-साइड एन्क्रिप्शन) के लिए अनुमति देने वाला टोकन

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
फ़ील्ड
aud

string

Google ने इन ऑडियंस की पहचान की है. इसकी जांच लोकल कॉन्फ़िगरेशन के हिसाब से की जानी चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

exp

string

खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

message_id

string

उस मैसेज का आइडेंटिफ़ायर जिस पर डिक्रिप्शन या साइन किया जाता है किया जाता है. इसका इस्तेमाल ऑडिटिंग के लिए, क्लाइंट रीज़निंग के मकसद के तौर पर किया जाता है.

iss

string

टोकन जारी करने वाला. इसे, पुष्टि करने वाली कंपनियों के भरोसेमंद सेट के आधार पर पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किए गए KACLS के बेस यूआरएल का इस्तेमाल, पर्सन इन द मिडल (पीआईटीएम) के हमलों को रोकने के लिए किया जाता है.

perimeter_id

string (UTF-8)

(ज़रूरी नहीं) दस्तावेज़ की जगह से जुड़ी वैल्यू, जिसका इस्तेमाल यह चुनने के लिए किया जा सकता है कि अनरैप करते समय कौनसी पेरीमीटर की जांच की जाए. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

resource_name

string (UTF-8)

डीईके से एन्क्रिप्ट (सुरक्षित) किए गए ऑब्जेक्ट के लिए आइडेंटिफ़ायर. ज़्यादा से ज़्यादा साइज़: 512 बाइट.

role

string

इनमें से कोई एक वैल्यू शामिल होती है:

  • decrypter: डिक्रिप्ट किया जा सकता है.
  • signer: हस्ताक्षर कर सकते हैं.
spki_hash

string

निजी पासकोड के DER कोड में बदले गए SubjectPublicKeyInfo का स्टैंडर्ड base64-कोड में बदला गया डाइजेस्ट.

spki_hash_algorithm

string

spki_hash बनाने के लिए इस्तेमाल किया जाने वाला एल्गोरिदम. यह वैल्यू SHA-256 हो सकती है.

KACLS माइग्रेशन सेवा के लिए अनुमति टोकन

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
फ़ील्ड
aud

string

Google ने इन ऑडियंस की पहचान की है. इसकी जांच लोकल कॉन्फ़िगरेशन के हिसाब से की जानी चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

exp

string

खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

iss

string

टोकन जारी करने वाला. इसे, पुष्टि करने वाली कंपनियों के भरोसेमंद सेट के आधार पर पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किए गए KACLS के बेस यूआरएल का इस्तेमाल, पर्सन इन द मिडल (पीआईटीएम) के हमलों को रोकने के लिए किया जाता है.

role

string

इनमें से कोई एक वैल्यू शामिल होती है:

  • migrator: सिर्फ़ rewrap को कॉल करने की अनुमति है.
  • verifier: सिर्फ़ digest को कॉल करने की अनुमति है.