โทเค็นของผู้ถือ (JWT: RFC 7516) ที่ Google ออกเพื่อยืนยันว่าผู้เรียกใช้ได้รับอนุญาตให้เข้ารหัสหรือถอดรหัสทรัพยากร
เพื่อป้องกันการละเมิด บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ควรตรวจสอบว่าผู้เรียกใช้ได้รับอนุญาตให้เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อนที่จะรวมคีย์และถอดรหัสก่อนที่จะแยก DEK
โทเค็นการให้สิทธิ์สําหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Google เอกสารและไดรฟ์ ปฏิทิน และ Meet (CSE)
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุไว้ ควรตรวจสอบกับการกำหนดค่าภายในเครื่อง |
email |
อีเมลของผู้ใช้ |
email_type |
มีค่าใดค่าหนึ่งต่อไปนี้
|
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
perimeter_id |
(ไม่บังคับ) ค่าที่ผูกกับตำแหน่งของเอกสารซึ่งสามารถใช้เพื่อเลือกว่าจะตรวจสอบขอบเขตใดเมื่อแยกข้อมูล ขนาดสูงสุด: 128 ไบต์ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
role |
มีค่าใดค่าหนึ่งต่อไปนี้ |
โทเค็นการให้สิทธิ์สำหรับ CSE ของ Gmail
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุไว้ ควรตรวจสอบกับการกำหนดค่าภายในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
message_id |
ตัวระบุสำหรับข้อความที่มีการดำเนินการถอดรหัสหรือลงนาม ใช้เป็นเหตุผลของลูกค้าเพื่อวัตถุประสงค์ในการตรวจสอบ |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
perimeter_id |
(ไม่บังคับ) ค่าที่ผูกกับตำแหน่งของเอกสารซึ่งสามารถใช้เลือกว่าจะเลือกขอบเขตใดเมื่อแยกเอกสาร ขนาดสูงสุด: 128 ไบต์ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์ |
role |
มีค่าใดค่าหนึ่งต่อไปนี้
|
spki_hash |
ไดเจสต์ที่เข้ารหัสแบบ Base64 แบบมาตรฐานของ |
spki_hash_algorithm |
อัลกอริทึมที่ใช้ในการสร้าง |
โทเค็นการให้สิทธิ์สำหรับบริการย้ายข้อมูล KACLS
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ Google ระบุไว้ ควรตรวจสอบกับการกำหนดค่าภายในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
kacls_url |
URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Person-in-the-middle (PITM) |
role |
มีค่าใดค่าหนึ่งต่อไปนี้ |