Mã thông báo truyền tải (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền để mã hoá hoặc giải mã một tài nguyên.
Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát truy cập bằng khoá (KACLS) phải xác minh rằng phương thức gọi được phép mã hoá đối tượng (tệp hoặc tài liệu) trước gói khoá và giải mã khoá đó trước khi khám phá DEK.
Mã thông báo uỷ quyền cho Tài liệu và Tính năng mã hoá phía máy khách (CSE) của Drive, Lịch và Meet
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
email_type |
Chứa một trong các giá trị sau:
|
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Một giá trị gắn với vị trí tài liệu, có thể dùng để chọn phạm vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng của đối tượng được DEK mã hoá. Kích thước tối đa: 128 byte. |
role |
Chứa một trong các giá trị sau: |
Mã thông báo uỷ quyền cho CSE của Gmail
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
message_id |
Giá trị nhận dạng của thư mà quá trình giải mã hoặc ký sẽ được thực hiện. Được dùng làm lý do khách hàng cho mục đích kiểm tra. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Một giá trị gắn với vị trí tài liệu, có thể dùng để chọn chu vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng của đối tượng được DEK mã hoá. Kích thước tối đa: 512 byte. |
role |
Chứa một trong các giá trị sau:
|
spki_hash |
Chuỗi đại diện được mã hoá tiêu chuẩn base64 của |
spki_hash_algorithm |
Thuật toán dùng để tạo |
Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra so với cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực dựa trên nhóm nhà phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
role |
Chứa một trong các giá trị sau: |