โทเค็นการให้สิทธิ์

โทเค็น Bearer (JWT: RFC 7516) ที่ Google ออกให้เพื่อยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสหรือถอดรหัส ทรัพยากร

เพื่อป้องกันการละเมิด บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ควรยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อนที่จะห่อหุ้มคีย์ และมีสิทธิ์ถอดรหัสออบเจ็กต์ก่อนที่จะแกะ DEK

โทเค็นการให้สิทธิ์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของเอกสารและไดรฟ์ ปฏิทิน และ Meet

การแสดง JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง
delegated_to

string

(ไม่บังคับ) อีเมลของผู้ใช้ที่มีสิทธิ์เข้าถึงทรัพยากร
email

string (UTF-8)

อีเมลของผู้ใช้
email_type

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • google: อีเมลนี้เป็นของบัญชี Google
  • google-visitor: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ได้รับการยืนยันรหัส PIN จาก Google
  • customer-idp: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ระบบดึงอีเมลของผู้ใช้โดยใช้ IdP ที่ลูกค้ากำหนดค่า
  • การอ้างสิทธิ์อาจไม่ได้ตั้งค่า ในกรณีนี้ ค่าเริ่มต้นจะเป็น `google`
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Man-in-the-Middle (MITM)
perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแกะ ขนาดสูงสุด: 128 ไบต์
resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • reader: อนุญาตให้โทรหา unwrap เท่านั้น
  • writer: โทรหาทั้ง wrap และ unwrap ได้

โทเค็นการให้สิทธิ์สำหรับ CSE ของ Gmail

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
message_id

string

ตัวระบุสำหรับข้อความที่มีการถอดรหัสหรือการลงนาม ใช้เป็นเหตุผลของลูกค้าเพื่อวัตถุประสงค์ในการตรวจสอบ
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Man-in-the-Middle (MITM)
perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อแกะ ขนาดสูงสุด: 128 ไบต์
resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • decrypter: ถอดรหัสได้
  • signer: สามารถลงนามได้
spki_hash

string

การย่อยข้อมูลที่เข้ารหัส Base64 มาตรฐานของ SubjectPublicKeyInfo ที่เข้ารหัส DER ของคีย์ส่วนตัวที่กำลังเข้าถึง
spki_hash_algorithm

string

อัลกอริทึมที่ใช้ในการสร้าง spki_hash สามารถเป็น SHA-256

โทเค็นการให้สิทธิ์สำหรับบริการย้ายข้อมูล KACLS

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้
kacls_url

string

URL ฐานของ KACLS ที่กำหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีแบบ Man-in-the-Middle (MITM)
role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • migrator: อนุญาตให้โทรหา rewrap เท่านั้น
  • verifier: อนุญาตให้โทรหา digest เท่านั้น