授權權杖

不記名權杖 (JWT: RFC 7516) 驗證呼叫端是否已獲得授權,可加密或解密。 資源

為了避免濫用,金鑰存取控制清單服務 (KACLS) 應驗證 呼叫端獲得授權,可加密物件 (檔案或文件), 請先包裝金鑰並解密,再解除 DEK 包裝。

Google 文件與雲端硬碟、日曆和 Meet 用戶端加密 (CSE)

JSON 表示法
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
欄位
aud

string

Google 辨識的目標對象。依據本機設定進行檢查。

email

string (UTF-8)

使用者的電子郵件地址。

email_type

string

包含下列其中一個值:

  • google:這個電子郵件地址屬於某個 Google 帳戶。
  • google-visitor:這個電子郵件地址不屬於任何 Google 帳戶, 但已經過 Google 驗證
  • customer-idp:這個電子郵件地址不屬於任何 Google 帳戶, 但使用者的電子郵件是透過客戶設定的 IdP 擷取。
  • 版權聲明可以取消設定;在此情況下,預設值為 `google`。
exp

string

到期時間。

iat

string

核發時間。

iss

string

權杖核發者。針對一組信任的驗證核發機構進行驗證。

kacls_url

string

設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。

perimeter_id

string (UTF-8)

(選用) 連結至文件位置的值,可用於選擇解除包裝時要檢查的周長。大小上限:128 個位元組。

resource_name

string (UTF-8)

DEK 加密的物件 ID。大小上限:128 個位元組。

role

string

包含下列其中一個值:

Gmail CSE 的授權權杖

JSON 表示法
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
欄位
aud

string

Google 辨識的目標對象。依據本機設定進行檢查。

email

string (UTF-8)

使用者的電子郵件地址。

exp

string

到期時間。

iat

string

核發時間。

message_id

string

解密或簽署的郵件 ID 執行指令做為稽核用途的用戶端原因。

iss

string

權杖核發者。針對一組信任的驗證核發機構進行驗證。

kacls_url

string

設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。

perimeter_id

string (UTF-8)

(選用) 連結至文件位置的值,可用於選擇解除包裝時要檢查的周長。大小上限:128 個位元組。

resource_name

string (UTF-8)

DEK 加密的物件 ID。大小上限:512 個位元組。

role

string

包含下列其中一個值:

  • decrypter:可以解密。
  • signer:可以簽署。
spki_hash

string

存取私密金鑰的 DER 編碼 SubjectPublicKeyInfo 標準 Base64 編碼摘要。

spki_hash_algorithm

string

用來產生 spki_hash 的演算法。可以是 SHA-256

KACLS 遷移服務的授權權杖

JSON 表示法
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
欄位
aud

string

Google 辨識的目標對象。依據本機設定進行檢查。

email

string (UTF-8)

使用者的電子郵件地址。

exp

string

到期時間。

iat

string

核發時間。

iss

string

權杖核發者。針對一組信任的驗證核發機構進行驗證。

kacls_url

string

設定的基礎 KACLS 網址,用來防止中間人 (PITM) 攻擊。

role

string

包含下列其中一個值:

  • migrator:只能呼叫 rewrap
  • verifier:只能呼叫 digest