โทเค็นการให้สิทธิ์

โทเค็น Bearer (JWT: RFC 7516) ที่ Google ออกให้เพื่อยืนยันว่าผู้เรียกมีสิทธิ์เข้ารหัสหรือถอดรหัสทรัพยากร

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ควรตรวจสอบว่าผู้เรียกมีสิทธิ์เข้ารหัสออบเจ็กต์ (ไฟล์หรือเอกสาร) ก่อนถอดรหัสคีย์ และถอดรหัสก่อนถอดรหัส DEK เพื่อป้องกันการละเมิด

โทเค็นการให้สิทธิ์สําหรับการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของเอกสารและไดรฟ์ ปฏิทิน และ Meet

การแสดง JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

email_type

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • google: อีเมลนี้เป็นของบัญชี Google
  • google-visitor: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ Google ยืนยันด้วยรหัส PIN แล้ว
  • customer-idp: อีเมลนี้ไม่ได้เป็นของบัญชี Google แต่ระบบดึงข้อมูลอีเมลของผู้ใช้โดยใช้ IdP ที่ลูกค้ากำหนดค่าไว้
  • คุณอาจไม่ได้ตั้งค่าการอ้างสิทธิ์ก็ได้ ซึ่งในกรณีนี้ ค่าเริ่มต้นจะเป็น "google"
exp

string

เวลาหมดอายุ

iat

string

เวลาในการออกบัตร

iss

string

ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ให้บริการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ฐาน KACLS ที่กําหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีจากบุคคลที่ดักฟังกลางทาง (PITM)

perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งสามารถใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อเลิกแพ็ก ขนาดสูงสุด: 128 ไบต์

resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์

role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • reader: อนุญาตให้โทรหา unwrap เท่านั้น
  • writer: อนุญาตให้โทรได้ทั้ง wrap และ unwrap

โทเค็นการให้สิทธิ์สําหรับ CSE ของ Gmail

การแสดง JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

exp

string

เวลาหมดอายุ

iat

string

เวลาในการออกบัตร

message_id

string

ตัวระบุสำหรับข้อความที่จะทำการถอดรหัสหรือลงนาม ใช้เพื่อเป็นเหตุผลของลูกค้าสำหรับการตรวจสอบ

iss

string

ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ฐาน KACLS ที่กําหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีจากบุคคลที่ดักรับข้อมูลกลางทาง (PITM)

perimeter_id

string (UTF-8)

(ไม่บังคับ) ค่าที่เชื่อมโยงกับตำแหน่งของเอกสารซึ่งสามารถใช้เพื่อเลือกขอบเขตที่จะตรวจสอบเมื่อเลิกแพ็ก ขนาดสูงสุด: 128 ไบต์

resource_name

string (UTF-8)

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 512 ไบต์

role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • decrypter: ถอดรหัสได้
  • signer: ลงชื่อได้
spki_hash

string

ข้อมูลสรุปที่เข้ารหัส Base64 มาตรฐานของ SubjectPublicKeyInfo ที่เข้ารหัส DER ของคีย์ส่วนตัวที่เข้าถึง

spki_hash_algorithm

string

อัลกอริทึมที่ใช้ในการสร้าง spki_hash อาจเป็น SHA-256

โทเค็นการให้สิทธิ์สําหรับบริการย้ายข้อมูล KACLS

การแสดง JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ Google ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง

email

string (UTF-8)

อีเมลของผู้ใช้

exp

string

เวลาหมดอายุ

iat

string

เวลาในการออกบัตร

iss

string

ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ให้บริการตรวจสอบสิทธิ์ที่เชื่อถือได้

kacls_url

string

URL ฐาน KACLS ที่กําหนดค่าไว้ ซึ่งใช้เพื่อป้องกันการโจมตีจากบุคคลที่ดักรับข้อมูลกลางทาง (PITM)

role

string

มีค่าใดค่าหนึ่งต่อไปนี้

  • migrator: อนุญาตให้โทรหา rewrap เท่านั้น
  • verifier: อนุญาตให้โทรหา digest เท่านั้น