Mã thông báo xác thực

Mã thông báo của người mang (JWT: RFC 7516) do đối tác nhận dạng (IdP) phát hành để chứng thực danh tính của người dùng.

Biểu diễn dưới dạng JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Trường
aud

string

Đối tượng, do IdP xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị.
email

string (UTF-8)

Địa chỉ email của người dùng.
exp

string

Thời gian hết hạn.
iat

string

Thời gian phát hành.
iss

string

Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy.
google_email

string

Một khai báo không bắt buộc, được dùng khi khai báo email trong JWT này khác với mã nhận dạng email Google Workspace của người dùng. Thông tin xác nhận này mang danh tính email Google Workspace của người dùng.
...

Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) của bạn có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá phạm vi.

Mã thông báo xác thực KACLS cho delegate

Mã thông báo xác thực chứa một Mã thông báo web JSON (JWT) (JWT: RFC 7516) là mã thông báo xác thực của người mang.

Đôi khi, người dùng không thể xác thực trực tiếp trên một ứng dụng. Trong những trường hợp này, người dùng có thể uỷ quyền truy cập vào một tài nguyên cụ thể cho ứng dụng đó. Việc này được thực hiện bằng cách phát hành một mã thông báo xác thực được uỷ quyền mới, mã thông báo này sẽ giới hạn phạm vi của mã thông báo xác thực ban đầu.

Mã thông báo xác thực được uỷ quyền tương tự như mã thông báo xác thực thông thường, nhưng có thêm một câu lệnh:

tuyên bố
delegated_to

string

Giá trị nhận dạng của thực thể để uỷ quyền xác thực.

Trong ngữ cảnh uỷ quyền, yêu cầu resource_name trong mã thông báo xác thực được dùng để xác định đối tượng được mã hoá bằng Khoá mã hoá dữ liệu (DEK) mà hoạt động uỷ quyền có hiệu lực.

Mã thông báo này do Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) phát hành bằng lệnh gọi Delegate. Đó có thể là JWT tự ký mà KACLS có thể xác thực, hoặc KACLS có thể sử dụng bất kỳ IdP nào khác để thực hiện việc đó thông qua một lệnh gọi đáng tin cậy.

Để mã thông báo xác thực được uỷ quyền được coi là hợp lệ, bạn phải cung cấp mã thông báo uỷ quyền được uỷ quyền cho cùng một thao tác. Mã uỷ quyền được uỷ quyền tương tự như mã uỷ quyền thông thường, nhưng có thêm giá trị xác nhận delegated_to. Giá trị của các xác nhận quyền sở hữu delegated_toresource_name phải khớp với các giá trị trong mã thông báo xác thực được uỷ quyền.

Bạn nên đặt giá trị thời gian tồn tại là 15 phút cho mã thông báo xác thực được uỷ quyền để tránh trường hợp có thể sử dụng lại trong trường hợp bị rò rỉ.

Biểu diễn dưới dạng JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Trường
email

string (UTF-8)

Địa chỉ email của người dùng ở định dạng UTF-8.
iss

string

Trình phát hành mã thông báo phải được xác thực dựa trên bộ trình phát hành xác thực đáng tin cậy.
aud

string

Đối tượng, do IdP xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị.
exp

string

Bạn nên kiểm tra thời gian hết hạn.
iat

string

Thời gian phát hành, bạn nên kiểm tra.
delegated_to

string

Giá trị nhận dạng của thực thể để uỷ quyền xác thực.
resource_name

string

Giá trị nhận dạng của đối tượng được mã hoá bằng DEK, mà việc uỷ quyền là hợp lệ.
...

KACLS có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá chu vi.

Mã thông báo xác thực KACLS cho PrivilegedUnwrap

Mã thông báo của người mang (JWT: RFC 7516) do đối tác nhận dạng (IdP) phát hành để chứng thực danh tính của người dùng.

Chỉ dùng trên PrivilegedUnwrap. Trong PrivilegedUnwrap, nếu JWT KACLS được dùng thay cho mã thông báo xác thực IDP, thì KACLS nhận phải tìm nạp JWKS của nhà phát hành trước, sau đó xác minh chữ ký mã thông báo, trước khi kiểm tra các xác nhận quyền sở hữu.

Biểu diễn dưới dạng JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Trường
aud

string

Đối tượng, do IdP xác định. Đối với các thao tác PrivilegedUnwrap mã hoá phía máy khách (CSE) của Drive, đây phải là kacls-migration.
exp

string

Thời gian hết hạn.
iat

string

Thời gian phát hành.
iss

string

Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy. Phải khớp với KACLS_URL của KACLS yêu cầu. Bạn có thể tìm thấy bộ khoá công khai của đơn vị phát hành tại /certs.
kacls_url

string

URL của KACLS hiện tại mà dữ liệu đang được giải mã.
resource_name

string

Giá trị nhận dạng của đối tượng được mã hoá bằng DEK. Kích thước tối đa: 128 byte.
...

Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) của bạn có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá phạm vi.