Token di connessione (JWT: RFC 7516) emesso da Google per verificare che il chiamante sia autorizzato a criptare o decriptare una risorsa.
Per prevenire abusi, il Key Access Control List Service (KACLS) deve verificare che il chiamante sia autorizzato a criptare l'oggetto (file o documento) prima di eseguire il wrapping della chiave e decriptarla prima di annullare il wrapping della DEK.
Token di autorizzazione per Documenti e Drive, Calendar e crittografia lato client di Meet
Rappresentazione JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Campi | |
---|---|
aud |
Il pubblico, come identificato da Google. Deve essere verificato in base alla configurazione locale. |
email |
L'indirizzo email dell'utente. |
email_type |
Contiene uno dei seguenti valori:
|
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Deve essere convalidato in base al gruppo attendibile di emittenti dell'autenticazione. |
kacls_url |
L'URL KACLS di base configurato, utilizzato per prevenire gli attacchi person in the middle (PITM). |
perimeter_id |
(Facoltativo) Un valore associato alla posizione del documento che può essere utilizzato per scegliere quale perimetro verrà controllato durante l'unwrapping. Dimensione massima: 128 byte. |
resource_name |
Identificatore dell'oggetto criptato dalla DEK. Dimensione massima: 128 byte. |
role |
Contiene uno dei seguenti valori: |
Token di autorizzazione per la crittografia lato client di Gmail
Rappresentazione JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Campi | |
---|---|
aud |
Il pubblico, come identificato da Google. Deve essere verificato in base alla configurazione locale. |
email |
L'indirizzo email dell'utente. |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
message_id |
Un identificatore del messaggio su cui viene eseguita la decriptazione o la firma. Utilizzato come motivo client ai fini del controllo. |
iss |
L'emittente del token. Deve essere convalidato in base al gruppo attendibile di emittenti dell'autenticazione. |
kacls_url |
L'URL KACLS di base configurato, utilizzato per prevenire gli attacchi person in the middle (PITM). |
perimeter_id |
(Facoltativo) Un valore associato alla posizione del documento che può essere utilizzato per scegliere quale perimetro viene controllato durante l'unwrapping. Dimensione massima: 128 byte. |
resource_name |
Identificatore dell'oggetto criptato dalla DEK. Dimensione massima: 512 byte. |
role |
Contiene uno dei seguenti valori:
|
spki_hash |
Digest standard con codifica Base64 del |
spki_hash_algorithm |
Algoritmo utilizzato per produrre |
Token di autorizzazione per il servizio di migrazione KACLS
Rappresentazione JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Campi | |
---|---|
aud |
Il pubblico, come identificato da Google. Deve essere verificato in base alla configurazione locale. |
email |
L'indirizzo email dell'utente. |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Deve essere convalidato in base al gruppo attendibile di emittenti dell'autenticazione. |
kacls_url |
L'URL KACLS di base configurato, utilizzato per prevenire gli attacchi person in the middle (PITM). |
role |
Contiene uno dei seguenti valori: |