Token del portador (JWT: RFC 7516) que emite Google para verificar que el emisor esté autorizado para encriptar o desencriptar un recurso.
Para evitar abusos, el servicio de listas de control de acceso a claves (KACLS) debe verificar que el emisor esté autorizado para encriptar el objeto (archivo o documento) antes de unir la clave y desencriptarla antes de desunir la DEK.
Token de autorización para Documentos y Drive, Calendario y la encriptación del cliente (CSE) de Meet
Representación JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Campos | |
---|---|
aud |
El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local. |
email |
La dirección de correo electrónico del usuario. |
email_type |
Contiene uno de los siguientes valores:
|
exp |
Hora de vencimiento. |
iat |
Hora de emisión. |
iss |
El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza. |
kacls_url |
La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM). |
perimeter_id |
Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará durante el desenvolvimiento (opcional). Tamaño máximo: 128 bytes. |
resource_name |
Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes. |
role |
Contiene uno de los siguientes valores: |
Token de autorización para la CSE de Gmail
Representación JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Campos | |
---|---|
aud |
El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local. |
email |
La dirección de correo electrónico del usuario. |
exp |
Hora de vencimiento. |
iat |
Hora de emisión. |
message_id |
Un identificador para el mensaje en el que se realiza la desencriptación o firma. Se usa como motivo del cliente para fines de auditoría. |
iss |
El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza. |
kacls_url |
La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM). |
perimeter_id |
Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se marca cuando se desenvuelve (opcional). Tamaño máximo: 128 bytes. |
resource_name |
Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 512 bytes. |
role |
Contiene uno de los siguientes valores:
|
spki_hash |
Resumen estándar codificado en base64 del |
spki_hash_algorithm |
Algoritmo que se usa para producir |
Token de autorización para el servicio de migración KACLS
Representación JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Campos | |
---|---|
aud |
El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local. |
email |
La dirección de correo electrónico del usuario. |
exp |
Hora de vencimiento. |
iat |
Hora de emisión. |
iss |
El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza. |
kacls_url |
La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM). |
role |
Contiene uno de los siguientes valores: |