身份验证令牌

由身份提供方 (IdP) 颁发的不记名令牌 (JWT：RFC 7519)，用于证明用户身份。

JSON 表示法
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

字段
`aud`	`string` IdP 确定的目标群体。应对照本地配置进行检查。
`email`	`string (UTF-8)` 用户邮箱。
`exp`	`string` 到期时间。
`iat`	`string` 颁发时间。
`iss`	`string` 令牌颁发者。应对照可信的身份验证颁发者集进行验证。
`google_email`	`string` 可选声明，当此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明包含用户的 Google Workspace 电子邮件身份。
`...`	您的密钥访问控制列表服务 (KACLS) 可以随意使用任何其他声明（位置、自定义声明等）来评估边界。

`delegate` 的 KACLS 身份验证令牌

身份验证令牌包含 JSON Web 令牌 (JWT) (JWT：RFC 7519)，该令牌是不记名身份验证令牌。

有时，用户无法直接在客户端上进行身份验证。在这种情况下，用户可以将其对特定资源的访问权限委托给该客户端。这是通过颁发新的委托身份验证令牌来实现的，该令牌限制了原始身份验证令牌的范围。

委托身份验证令牌与普通身份验证令牌类似，但多了一个声明：

声明

声明
`delegated_to`	`string` 要将身份验证委托给的实体的标识符。

delegated_to

string

要将身份验证委托给的实体的标识符。

在委托上下文中，身份验证令牌中的 resource_name 声明用于标识由数据加密密钥 (DEK) 加密的对象，委托对该对象有效。

该令牌由密钥访问控制列表服务 (KACLS) 使用 Delegate 调用颁发。它可以是 KACLS 能够验证的自签名 JWT，也可以是 KACLS 通过可信调用使用任何其他 IdP 来执行此操作。

为了使委托身份验证令牌被视为有效，必须为同一操作提供委托授权令牌。委托授权令牌与普通授权令牌类似，但包含额外的 delegated_to 声明。delegated_to 和 resource_name 声明的值必须与委托身份验证令牌中的值匹配。

我们建议您为委托身份验证令牌设置 15 分钟的生命周期值，以避免在发生泄露时可能被重复使用。

JSON 表示法
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

字段
`email`	`string (UTF-8)` 用户的 UTF-8 格式电子邮件地址。
`iss`	`string` 令牌颁发者，应根据可信的身份验证颁发者集进行验证。
`aud`	`string` IdP 确定的目标群体。应对照本地配置进行检查。
`exp`	`string` 到期时间，应进行检查。
`iat`	`string` 颁发时间，应进行检查。
`delegated_to`	`string` 要将身份验证委托给的实体的标识符。
`resource_name`	`string` 由 DEK 加密的对象（委托对该对象有效）的标识符。
`...`	KACLS 可以随意使用任何其他声明（位置、自定义声明、等）来评估边界。

由身份提供方 (IdP) 颁发的不记名令牌 (JWT：RFC 7519)，用于证明用户身份。

这仅在 PrivilegedUnwrap 上使用。在 PrivilegedUnwrap 期间，如果使用 KACLS JWT 代替 IDP 身份验证令牌，则接收方 KACLS 必须先提取颁发者的 JWKS，然后验证令牌签名，最后检查声明。

JSON 表示法
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

字段
`aud`	`string` IdP 确定的目标群体。对于 Google 云端硬盘客户端加密功能 (CSE) `PrivilegedUnwrap` 操作，此值应为 `kacls-migration`。
`exp`	`string` 到期时间。
`iat`	`string` 颁发时间。
`iss`	`string` 令牌颁发者。应对照可信的身份验证颁发者集进行验证。必须与请求 KACLS 的 `KACLS_URL` 匹配。颁发者的公钥集可在 `<iss>/certs` 中找到。
`kacls_url`	`string` 当前 KACLS 的网址，数据正在该网址上解密。
`resource_name`	`string` 由 DEK 加密的对象的标识符。大小上限： 128 字节。
`...`	您的密钥访问控制列表服务 (KACLS) 可以随意使用任何其他声明（位置、自定义声明等）来评估边界。