Esta página foi traduzida pela API Cloud Translation.

Tokens de autorização

Token de portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar um recurso.

Para evitar abusos, o serviço de lista de controle de acesso a chaves (KACLS) precisa verificar se o autor da chamada está autorizado a criptografar o objeto (arquivo ou documento) antes de empacotar a chave e descriptografá-la antes de desempacotar a DEK.

Token de autorização para a criptografia do lado do cliente (CSE) dos apps Documentos e Drive, do app Agenda e do Meet

Representação JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Deve ser verificado na configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`email_type`	`string` Contém um dos seguintes valores: `google`: Este e-mail pertence a uma Conta do Google. `google-visitor`: este e-mail não pertence a uma Conta do Google, mas foi verificado pelo Google com um PIN. `customer-idp`: este e-mail não pertence a uma Conta do Google, mas o e-mail do usuário foi extraído usando um IdP configurado pelo cliente. A declaração pode ser desativada. Nesse caso, o valor padrão é "google".
`exp`	`string` Prazo de validade.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado pelo conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL da base da KACLS configurado, usado para evitar ataques de person-in-the-middle (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro será verificado ao desempacotar. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Um identificador do objeto criptografado pelo DEK. Tamanho máximo: 128 bytes.
`role`	`string` Contém um dos seguintes valores: `reader`: permitido chamar apenas `unwrap`. `writer`: permite chamar `wrap` e `unwrap`.

Token de autorização para a CSE do Gmail

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representação JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Deve ser verificado na configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Prazo de validade.
`iat`	`string` Horário de emissão.
`message_id`	`string` Um identificador da mensagem em que a descriptografia ou assinatura é realizada. Usado como motivo do cliente para fins de auditoria.
`iss`	`string` O emissor do token. Precisa ser validado pelo conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL da base da KACLS configurado, usado para evitar ataques de person-in-the-middle (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro é verificado ao desempacotar. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Um identificador do objeto criptografado pelo DEK. Tamanho máximo: 512 bytes.
`role`	`string` Contém um dos seguintes valores: `decrypter`: pode descriptografar. `signer`: pode assinar.
`spki_hash`	`string` Resumo codificado em base64 padrão do `SubjectPublicKeyInfo` codificado em DER da chave privada que está sendo acessada.
`spki_hash_algorithm`	`string` Algoritmo usado para produzir `spki_hash`. Pode ser `SHA-256`.

Token de autorização para o serviço de migração do KACLS

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Deve ser verificado na configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Prazo de validade.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado pelo conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL da base da KACLS configurado, usado para evitar ataques de person-in-the-middle (PITM).
`role`	`string` Contém um dos seguintes valores: `migrator`: permitido chamar apenas `rewrap`. `verifier`: permitido chamar apenas `digest`.