โทเค็นการให้สิทธิ์

โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดย Google เพื่อยืนยันว่าผู้โทรได้รับอนุญาตให้เข้ารหัสหรือถอดรหัส แหล่งข้อมูล

เพื่อป้องกันการละเมิด Key Access Control List Service (KACLS) ควรยืนยันว่า ผู้โทรได้รับอนุญาตให้เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อน รวมคีย์ไว้และถอดรหัสก่อนแยก DEK

โทเค็นการให้สิทธิ์สำหรับเอกสารและ การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ในไดรฟ์ ปฏิทิน และ Meet

การแสดง JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

email_type

string

ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้

  • google: อีเมลนี้เป็นของบัญชี Google
  • google-visitor: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ Google ยืนยันรหัส PIN แล้ว
  • customer-idp: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่มีการดึงอีเมลของผู้ใช้โดยใช้ IdP ที่กำหนดค่าโดยลูกค้า
  • คุณยกเลิกการตั้งค่าการอ้างสิทธิ์ได้ ในกรณีนี้ ค่าเริ่มต้นคือ "google"
exp

string

เวลาหมดอายุ

iat

string

เวลาที่ออกบัตร

iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM)

perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแยกได้ ขนาดสูงสุด: 128 ไบต์

resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์

role

string

ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้

  • reader: ได้รับอนุญาตให้เรียกเฉพาะ unwrap เท่านั้น
  • writer: ได้รับอนุญาตให้โทรหาทั้ง wrap และ unwrap

โทเค็นการให้สิทธิ์สำหรับ CSE ของ Gmail

การแสดง JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

exp

string

เวลาหมดอายุ

iat

string

เวลาที่ออกบัตร

message_id

string

ตัวระบุสำหรับข้อความที่มีการถอดรหัสหรือเซ็น ที่ได้รับ ใช้เป็นเหตุผลของลูกค้าสำหรับการตรวจสอบ

iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM)

perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่ต้องการเมื่อแยกได้ ขนาดสูงสุด: 128 ไบต์

resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์

role

string

ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้

  • decrypter: ถอดรหัสได้
  • signer: ลงนามได้
spki_hash

string

ไดเจสต์ที่เข้ารหัส Base64 แบบมาตรฐานของ SubjectPublicKeyInfo ที่เข้ารหัส DER ของคีย์ส่วนตัวที่มีการเข้าถึง

spki_hash_algorithm

string

อัลกอริทึมที่ใช้ในการสร้าง spki_hash เป็น SHA-256 ได้

โทเค็นการให้สิทธิ์สำหรับบริการย้ายข้อมูล KACLS

การแสดง JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

exp

string

เวลาหมดอายุ

iat

string

เวลาที่ออกบัตร

iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ของ KACLS พื้นฐานที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM)

role

string

ประกอบด้วยค่าใดค่าหนึ่งต่อไปนี้

  • migrator: ได้รับอนุญาตให้เรียกเฉพาะ rewrap เท่านั้น
  • verifier: ได้รับอนุญาตให้เรียกเฉพาะ digest เท่านั้น