โทเค็นการให้สิทธิ์

โทเค็นผู้ถือ (JWT: RFC 7519) ที่ Google ออกให้เพื่อยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสหรือถอดรหัสทรัพยากร

เพื่อป้องกันการละเมิด บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ควรยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อนที่จะห่อหุ้มคีย์ และมีสิทธิ์ถอดรหัสออบเจ็กต์ก่อนที่จะยกเลิกการห่อหุ้ม DEK

โทเค็นการให้สิทธิ์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google เอกสารและ Google ไดรฟ์, Google ปฏิทิน และ Google Meet

การแสดง JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบเทียบกับ การกำหนดค่าในเครื่อง
delegated_to

string

(ไม่บังคับ) อีเมลของผู้ใช้ที่มีสิทธิ์ เข้าถึงทรัพยากร
email

string (UTF-8)

อีเมลของผู้ใช้
email_type

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • google: อีเมลนี้เป็นของบัญชี Google
  • google-visitor: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ได้รับการยืนยันรหัส PIN จาก Google
  • customer-idp: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ระบบดึงอีเมลของผู้ใช้โดยใช้ IdP ที่ลูกค้ากำหนดค่า
  • การอ้างสิทธิ์อาจไม่ได้ตั้งค่า ในกรณีนี้ ค่าเริ่มต้นจะเป็น `google`
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดที่เชื่อถือได้ของ ผู้ออกการตรวจสอบสิทธิ์
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกัน การโจมตีแบบคนกลาง (PITM)
perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้ เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแกะ ขนาดสูงสุด: 128 ไบต์
resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • reader: อนุญาตให้โทรหา unwrap เท่านั้น
  • writer: โทรหาได้ทั้ง wrap และ unwrap

โทเค็นการให้สิทธิ์สำหรับ CSE ของ Gmail

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบเทียบกับ การกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
message_id

string

ตัวระบุสำหรับข้อความที่มีการถอดรหัสหรือการลงนาม ใช้เป็นเหตุผลของลูกค้าเพื่อวัตถุประสงค์ในการตรวจสอบ
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดที่เชื่อถือได้ของ ผู้ออกการตรวจสอบสิทธิ์
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกัน การโจมตีแบบคนกลาง (PITM)
perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้ได้ เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแกะ ขนาดสูงสุด: 128 ไบต์
resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • decrypter: ถอดรหัสได้
  • signer: สามารถลงนามได้
spki_hash

string

สรุปที่เข้ารหัส Base64 มาตรฐานของ DER-encoded SubjectPublicKeyInfo ของคีย์ส่วนตัวที่ เข้าถึง
spki_hash_algorithm

string

อัลกอริทึมที่ใช้ในการสร้าง spki_hash อาจเป็น SHA-256

โทเค็นการให้สิทธิ์สำหรับบริการย้ายข้อมูล KACLS

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบเทียบกับ การกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดที่เชื่อถือได้ของ ผู้ออกการตรวจสอบสิทธิ์
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกัน การโจมตีแบบคนกลาง (PITM)
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • migrator: อนุญาตให้โทรหา rewrap เท่านั้น
  • verifier: อนุญาตให้โทรหา digest เท่านั้น