Эта страница переведена с помощью Cloud Translation API.

Токены авторизации

Токен носителя ( JWT: RFC 7516 ), выданный Google для проверки того, что вызывающая сторона имеет право шифровать или дешифровать ресурс.

Чтобы предотвратить злоупотребления, служба списков управления доступом к ключам (KACLS) должна проверять, имеет ли вызывающая сторона право шифровать объект (файл или документ) перед упаковкой ключа и расшифровывать его перед развертыванием DEK.

Токен авторизации для Документов и Диска, Календаря и шифрования на стороне клиента Meet (CSE)

JSON-представление
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Поля
`aud`	`string` Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`email_type`	`string` Содержит одно из следующих значений: `google` : Этот адрес электронной почты принадлежит учетной записи Google. `google-visitor` : Это электронное письмо не принадлежит учетной записи Google, но было подтверждено PIN-кодом Google. `customer-idp` : этот адрес электронной почты не принадлежит учетной записи Google, но адрес электронной почты пользователя был извлечен с помощью настроенного клиентом IdP. Претензию можно отменить; в этом случае значением по умолчанию является «google».
`exp`	`string` Срок годности.
`iat`	`string` Время выдачи.
`iss`	`string` Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`perimeter_id`	`string (UTF-8)` (Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.
`resource_name`	`string (UTF-8)` Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.
`role`	`string` Содержит одно из следующих значений: `reader` : разрешен только вызов `unwrap` . `writer` : Разрешено вызывать как `wrap` , так и `unwrap`

Токен авторизации для Gmail CSE

JSON-представление
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

JSON-представление

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Поля
`aud`	`string` Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`exp`	`string` Срок годности.
`iat`	`string` Время выдачи.
`message_id`	`string` Идентификатор сообщения, для которого выполняется расшифровка или подпись. Используется в качестве причины клиента в целях аудита.
`iss`	`string` Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`perimeter_id`	`string (UTF-8)` (Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.
`resource_name`	`string (UTF-8)` Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 512 байт.
`role`	`string` Содержит одно из следующих значений: `decrypter` : может расшифровать. `signer` : Может подписать.
`spki_hash`	`string` Стандартный дайджест в кодировке Base64 закодированной в DER информации `SubjectPublicKeyInfo` закрытого ключа, к которому осуществляется доступ.
`spki_hash_algorithm`	`string` Алгоритм, используемый для создания `spki_hash` . Может быть `SHA-256` .

Токен авторизации для службы миграции KACLS

JSON-представление
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Поля
`aud`	`string` Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`exp`	`string` Срок годности.
`iat`	`string` Время выдачи.
`iss`	`string` Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`role`	`string` Содержит одно из следующих значений: `migrator` : разрешен только вызов `rewrap` . `verifier` : разрешено вызывать только `digest` .