Mã thông báo uỷ quyền

Mã thông báo truyền tải (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền để mã hoá hoặc giải mã một tài nguyên.

Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát truy cập bằng khoá (KACLS) phải xác minh rằng phương thức gọi được phép mã hoá đối tượng (tệp hoặc tài liệu) trước gói khoá và giải mã khoá đó trước khi khám phá DEK.

Mã thông báo uỷ quyền cho Tài liệu và Tính năng mã hoá phía máy khách (CSE) của Drive, Lịch và Meet

Biểu diễn dưới dạng JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Trường
aud

string

Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ.

email

string (UTF-8)

Địa chỉ email của người dùng.

email_type

string

Chứa một trong các giá trị sau:

  • google: Email này thuộc về một Tài khoản Google.
  • google-visitor: Email này không thuộc Tài khoản Google, nhưng đã được Google xác minh bằng mã PIN.
  • customer-idp: Email này không thuộc Tài khoản Google, nhưng email của người dùng được trích xuất bằng IdP do khách hàng định cấu hình.
  • Bạn có thể huỷ đặt thông báo xác nhận quyền sở hữu; trong trường hợp đó, giá trị mặc định là "google".
exp

string

Thời gian hết hạn.

iat

string

Thời gian phát hành.

iss

string

Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy.

kacls_url

string

URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).

perimeter_id

string (UTF-8)

(Không bắt buộc) Một giá trị gắn với vị trí tài liệu, có thể dùng để chọn phạm vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte.

resource_name

string (UTF-8)

Giá trị nhận dạng của đối tượng được DEK mã hoá. Kích thước tối đa: 128 byte.

role

string

Chứa một trong các giá trị sau:

  • reader: Chỉ được phép gọi unwrap.
  • writer: Được phép gọi cả wrapunwrap

Mã thông báo uỷ quyền cho CSE của Gmail

Biểu diễn dưới dạng JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Trường
aud

string

Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ.

email

string (UTF-8)

Địa chỉ email của người dùng.

exp

string

Thời gian hết hạn.

iat

string

Thời gian phát hành.

message_id

string

Giá trị nhận dạng của thư mà quá trình giải mã hoặc ký sẽ được thực hiện. Được dùng làm lý do khách hàng cho mục đích kiểm tra.

iss

string

Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy.

kacls_url

string

URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).

perimeter_id

string (UTF-8)

(Không bắt buộc) Một giá trị gắn với vị trí tài liệu, có thể dùng để chọn chu vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte.

resource_name

string (UTF-8)

Giá trị nhận dạng của đối tượng được DEK mã hoá. Kích thước tối đa: 512 byte.

role

string

Chứa một trong các giá trị sau:

  • decrypter: Có thể giải mã.
  • signer: Có thể ký.
spki_hash

string

Chuỗi đại diện được mã hoá tiêu chuẩn base64 của SubjectPublicKeyInfo được mã hoá theo DER của khoá riêng tư đang được truy cập.

spki_hash_algorithm

string

Thuật toán dùng để tạo spki_hash. Có thể là SHA-256.

Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS

Biểu diễn dưới dạng JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Trường
aud

string

Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ.

email

string (UTF-8)

Địa chỉ email của người dùng.

exp

string

Thời gian hết hạn.

iat

string

Thời gian phát hành.

iss

string

Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy.

kacls_url

string

URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).

role

string

Chứa một trong các giá trị sau:

  • migrator: Chỉ được phép gọi rewrap.
  • verifier: Chỉ được phép gọi digest.