โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดย Google เพื่อยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัส แหล่งข้อมูล
เพื่อป้องกันการละเมิด Key Access Control List Service (KACLS) ควรยืนยันว่า ผู้โทรได้รับอนุญาตให้เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อน รวมคีย์ไว้และถอดรหัสก่อนแยก DEK
โทเค็นการให้สิทธิ์สำหรับเอกสารและ การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ในไดรฟ์ ปฏิทิน และ Meet
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
email_type |
ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้
|
exp |
เวลาหมดอายุ |
iat |
เวลาที่ออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
perimeter_id |
(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแยกได้ ขนาดสูงสุด: 128 ไบต์ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
role |
ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้ |
โทเค็นการให้สิทธิ์สำหรับ CSE ของ Gmail
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาที่ออกบัตร |
message_id |
ตัวระบุสำหรับข้อความที่มีการถอดรหัสหรือเซ็น ที่ได้รับ ใช้เป็นเหตุผลของลูกค้าสำหรับการตรวจสอบ |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
perimeter_id |
(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่ต้องการเมื่อแยกได้ ขนาดสูงสุด: 128 ไบต์ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์ |
role |
ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้
|
spki_hash |
ไดเจสต์ที่เข้ารหัส Base64 แบบมาตรฐานของ |
spki_hash_algorithm |
อัลกอริทึมที่ใช้ในการสร้าง |
โทเค็นการให้สิทธิ์สำหรับบริการย้ายข้อมูล KACLS
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาที่ออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
role |
ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้ |