不記名權杖 (JWT:RFC 7516),由 Google 核發,用於驗證呼叫者是否有權加密或解密資源。
為防止濫用,Key Access Control List Service (KACLS) 應先驗證呼叫端是否已獲授權加密物件 (檔案或文件),再包裝金鑰;並先驗證呼叫端是否已獲授權解密物件,再解開包裝 DEK。
Google 文件和雲端硬碟、日曆和 Meet 用戶端加密 (CSE) 的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別出的目標對象。應根據本機設定進行檢查。 |
delegated_to |
(選用) 獲授權存取資源的使用者電子郵件地址。 |
email |
使用者的電子郵件地址。 |
email_type |
包含下列其中一個值:
|
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據一組可信的驗證簽發者進行驗證。 |
kacls_url |
設定的 KACLS 基礎網址,用於防範中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相關聯的值,可用於選擇解包時要檢查的周邊範圍。大小上限:128 個位元組。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:128 個位元組。 |
role |
包含下列其中一個值: |
Gmail CSE 的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別出的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
發卡時間。 |
message_id |
要執行解密或簽署作業的訊息 ID。用於稽核用途的用戶端原因。 |
iss |
權杖核發者。應根據一組可信的驗證簽發者進行驗證。 |
kacls_url |
設定的 KACLS 基礎網址,用於防範中間人 (PITM) 攻擊。 |
perimeter_id |
(選用) 與文件位置相關聯的值,可用於選擇解包時要檢查的周邊範圍。大小上限:128 個位元組。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:512 個位元組。 |
role |
包含下列其中一個值:
|
spki_hash |
以標準 Base64 編碼的摘要,該摘要是存取私密金鑰的 DER 編碼 |
spki_hash_algorithm |
產生 |
KACLS 遷移服務的授權權杖
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 欄位 | |
|---|---|
aud |
Google 識別出的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據一組可信的驗證簽發者進行驗證。 |
kacls_url |
設定的 KACLS 基礎網址,用於防範中間人 (PITM) 攻擊。 |
role |
包含下列其中一個值: |