अनुमति देने वाले टोकन

Google से जारी किया गया, बियरर टोकन (JWT: आरएफ़सी 7516), जिससे यह पुष्टि की जाती है कि कॉलर के पास किसी रिसॉर्स को एन्क्रिप्ट या डिक्रिप्ट करने की अनुमति है या नहीं.

गलत इस्तेमाल को रोकने के लिए, कुंजी ऐक्सेस कंट्रोल सूची सेवा (KACLS) को यह पुष्टि करनी चाहिए कि कॉल करने वाले के पास, कुंजी को अनपैक करने से पहले ऑब्जेक्ट (फ़ाइल या दस्तावेज़) को एन्क्रिप्ट करने और डीईके को अनपैक करने से पहले उसे डिक्रिप्ट करने की अनुमति है.

Docs, Drive, Calendar, और Meet के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के लिए अनुमति वाला टोकन

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
फ़ील्ड
aud

string

Google की पहचान की गई ऑडियंस. इसे लोकल कॉन्फ़िगरेशन के हिसाब से जांचा जाना चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

email_type

string

इसमें इनमें से कोई एक वैल्यू होनी चाहिए:

  • google: यह ईमेल किसी Google खाते से जुड़ा है.
  • google-visitor: यह ईमेल किसी Google खाते से नहीं जुड़ा है, लेकिन Google ने पिन कोड की मदद से इसकी पुष्टि की है.
  • customer-idp: यह ईमेल किसी Google खाते से नहीं जुड़ा है, लेकिन उपयोगकर्ता का ईमेल, ग्राहक के कॉन्फ़िगर किए गए आईडीपी का इस्तेमाल करके निकाला गया था.
  • दावे को अनसेट किया जा सकता है. ऐसे में, डिफ़ॉल्ट वैल्यू `google` होगी.
exp

string

समयसीमा खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

iss

string

टोकन जारी करने वाला. पुष्टि करने वाले आधिकारिक स्रोतों के भरोसेमंद सेट के हिसाब से पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किया गया KACLS का बेस यूआरएल, जिसका इस्तेमाल बीच में घुसकर हमला करने वाले (पीआईटीएम) हमलों से बचने के लिए किया जाता है.

perimeter_id

string (UTF-8)

(ज़रूरी नहीं) दस्तावेज़ की जगह से जुड़ी वैल्यू, जिसका इस्तेमाल यह चुनने के लिए किया जा सकता है कि अनपैक करते समय किस पेरिमीटर की जांच की जाएगी. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

resource_name

string (UTF-8)

डीईके से एन्क्रिप्ट किए गए ऑब्जेक्ट के लिए आइडेंटिफ़ायर. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

role

string

इसमें इनमें से कोई एक वैल्यू होनी चाहिए:

  • reader: सिर्फ़ unwrap को कॉल करने की अनुमति है.
  • writer: wrap और unwrap, दोनों को कॉल करने की अनुमति है

Gmail के सीएसई (क्लाइंट-साइड एन्क्रिप्शन) के लिए अनुमति वाला टोकन

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
फ़ील्ड
aud

string

Google की पहचान की गई ऑडियंस. इसे लोकल कॉन्फ़िगरेशन के हिसाब से जांचा जाना चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

exp

string

समयसीमा खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

message_id

string

उस मैसेज का आइडेंटिफ़ायर जिसे डिक्रिप्ट या हस्ताक्षर किया जाता है. इसका इस्तेमाल, ऑडिटिंग के मकसद से क्लाइंट की वजह के तौर पर किया जाता है.

iss

string

टोकन जारी करने वाला. पुष्टि करने वाले आधिकारिक स्रोतों के भरोसेमंद सेट के हिसाब से पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किया गया KACLS का बेस यूआरएल, जिसका इस्तेमाल बीच में घुसकर हमला करने वाले (पीआईटीएम) हमलों से बचने के लिए किया जाता है.

perimeter_id

string (UTF-8)

(ज़रूरी नहीं) दस्तावेज़ की जगह से जुड़ी वैल्यू, जिसका इस्तेमाल यह चुनने के लिए किया जा सकता है कि अनपैक करते समय किस पेरिमीटर की जांच की जाए. ज़्यादा से ज़्यादा साइज़: 128 बाइट.

resource_name

string (UTF-8)

डीईके से एन्क्रिप्ट किए गए ऑब्जेक्ट के लिए आइडेंटिफ़ायर. ज़्यादा से ज़्यादा साइज़: 512 बाइट.

role

string

इसमें इनमें से कोई एक वैल्यू होनी चाहिए:

  • decrypter: डिक्रिप्ट किया जा सकता है.
  • signer: हस्ताक्षर कर सकते हैं.
spki_hash

string

ऐक्सेस की जा रही निजी कुंजी के DER कोड में बदले गए SubjectPublicKeyInfo का स्टैंडर्ड base64 कोड में बदला गया डाइजेस्ट.

spki_hash_algorithm

string

spki_hash बनाने के लिए इस्तेमाल किया गया एल्गोरिदम. यह SHA-256 हो सकता है.

KACLS माइग्रेशन सेवा के लिए अनुमति वाला टोकन

JSON के काेड में दिखाना
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
फ़ील्ड
aud

string

Google की पहचान की गई ऑडियंस. इसे लोकल कॉन्फ़िगरेशन के हिसाब से जांचा जाना चाहिए.

email

string (UTF-8)

उपयोगकर्ता का ईमेल पता.

exp

string

समयसीमा खत्म होने का समय.

iat

string

कार्ड जारी करने का समय.

iss

string

टोकन जारी करने वाला. पुष्टि करने वाले आधिकारिक स्रोतों के भरोसेमंद सेट के हिसाब से पुष्टि की जानी चाहिए.

kacls_url

string

कॉन्फ़िगर किया गया KACLS का बेस यूआरएल, जिसका इस्तेमाल बीच में घुसकर हमला करने वाले (पीआईटीएम) हमलों से बचने के लिए किया जाता है.

role

string

इसमें इनमें से कोई एक वैल्यू होनी चाहिए:

  • migrator: सिर्फ़ rewrap को कॉल करने की अनुमति है.
  • verifier: सिर्फ़ digest को कॉल करने की अनुमति है.