Google 核發的不記名權杖 (JWT:RFC 7516),用於驗證呼叫端是否有權加密或解密資源。
為了避免濫用,金鑰存取控制清單 (KACLS) 應先驗證呼叫者是否有權為物件 (檔案或文件) 加密,然後再包裝金鑰,並在將金鑰解除包裝前解密。
文件與雲端硬碟、日曆和 Meet 用戶端加密 (CSE) 的授權權杖
JSON 表示法 | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
欄位 | |
---|---|
aud |
Google 識別的目標對象。請根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
email_type |
會包含下列其中一個值:
|
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。應根據信任的驗證核發機構組合進行驗證。 |
kacls_url |
設定的基本 KACLS 網址,可用於防範中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相關聯的值,可用於選擇要在解除包裝時檢查的範圍。大小上限:128 個位元組。 |
resource_name |
DEK 加密物件的 ID。大小上限:128 個位元組。 |
role |
會包含下列其中一個值: |
Gmail CSE 的授權權杖
JSON 表示法 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
欄位 | |
---|---|
aud |
Google 識別的目標對象。請根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
核發時間。 |
message_id |
已執行解密或簽署的訊息 ID。做為稽核用途的客戶原因。 |
iss |
權杖核發者。應根據信任的驗證核發機構組合進行驗證。 |
kacls_url |
設定的基本 KACLS 網址,可用於防範中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相連結的值,可用於選擇解除包裝時要檢查的範圍。大小上限:128 個位元組。 |
resource_name |
DEK 加密物件的 ID。大小上限:512 個位元組。 |
role |
會包含下列其中一個值:
|
spki_hash |
存取的私密金鑰的標準 Base64 編碼摘要 |
spki_hash_algorithm |
用於產生 |
KACLS 遷移服務的授權權杖
JSON 表示法 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
欄位 | |
---|---|
aud |
Google 識別的目標對象。請根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。應根據信任的驗證核發機構組合進行驗證。 |
kacls_url |
設定的基本 KACLS 網址,可用於防範中間人 (PITM) 攻擊。 |
role |
會包含下列其中一個值: |