由 Google 签发的不记名令牌 (JWT:RFC 7516),用于验证调用者是否已获得加密或解密资源的授权。
为防止滥用,密钥访问控制列表服务 (KACLS) 应验证调用方是否已获得授权来加密对象(文件或文档),然后再封装密钥;还应验证调用方是否已获得授权来解密对象,然后再解封装 DEK。
Google 文档和云端硬盘、Google 日历和 Meet 客户端加密功能 (CSE) 的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
Google 确定的受众群体。应根据本地配置进行检查。 |
delegated_to |
(可选)有权访问相应资源的用户所用的电子邮件地址。 |
email |
用户的电子邮件地址。 |
email_type |
包含以下某个值:
|
exp |
到期时间。 |
iat |
发卡时间。 |
iss |
令牌颁发者。应针对可信的身份验证签发者集进行验证。 |
kacls_url |
配置的基础 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置相关联的值,可用于选择在解封装时检查哪个安全边界。大小上限:128 字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 字节。 |
role |
包含以下某个值: |
Gmail CSE 的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 字段 | |
|---|---|
aud |
Google 确定的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
发卡时间。 |
message_id |
执行解密或签名的消息的标识符。用作客户端原因,用于审核目的。 |
iss |
令牌颁发者。应针对可信的身份验证签发者集进行验证。 |
kacls_url |
配置的基础 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置相关联的值,可用于选择在解封装时检查哪个安全边界。大小上限:128 字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:512 字节。 |
role |
包含以下某个值:
|
spki_hash |
所访问私钥的 DER 编码 |
spki_hash_algorithm |
用于生成 |
KACLS 迁移服务的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
Google 确定的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
发卡时间。 |
iss |
令牌颁发者。应针对可信的身份验证签发者集进行验证。 |
kacls_url |
配置的基础 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
role |
包含以下某个值: |