Mã thông báo người mang (JWT: RFC 7519) do Google cấp để xác minh rằng người gọi được uỷ quyền mã hoá hoặc giải mã một tài nguyên.
Để ngăn chặn hành vi lạm dụng, Dịch vụ danh sách kiểm soát quyền truy cập vào khoá (KACLS) phải xác minh rằng người gọi được uỷ quyền mã hoá đối tượng (tệp hoặc tài liệu) trước khi gói khoá và giải mã đối tượng đó trước khi giải gói DEK.
Mã thông báo uỷ quyền cho tính năng mã hoá phía máy khách (CSE) của Google Tài liệu và Google Drive, Lịch Google và Google Meet
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần kiểm tra đối chiếu với cấu hình cục bộ. |
delegated_to |
(Không bắt buộc) Địa chỉ email của người dùng được uỷ quyền truy cập vào tài nguyên. |
email |
Địa chỉ email của người dùng. |
email_type |
Chứa một trong các giá trị sau:
|
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Cần được xác thực dựa trên tập hợp đáng tin cậy của các đơn vị phát hành xác thực. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị được liên kết với vị trí của tài liệu có thể dùng để chọn ranh giới sẽ được kiểm tra khi giải gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được mã hoá bằng DEK. Kích thước tối đa: 128 byte. |
role |
Chứa một trong các giá trị sau: |
Mã thông báo uỷ quyền cho tính năng CSE của Gmail
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần kiểm tra đối chiếu với cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
message_id |
Giá trị nhận dạng cho thông báo mà quá trình giải mã hoặc ký được thực hiện. Được dùng làm lý do của máy khách cho mục đích kiểm tra. |
iss |
Tổ chức phát hành mã thông báo. Cần được xác thực dựa trên tập hợp đáng tin cậy của các đơn vị phát hành xác thực. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị được liên kết với vị trí của tài liệu có thể dùng để chọn ranh giới được kiểm tra khi giải gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được mã hoá bằng DEK. Kích thước tối đa: 512 byte. |
role |
Chứa một trong các giá trị sau:
|
spki_hash |
Tiêu điểm được mã hoá bằng base64 tiêu chuẩn của được mã hoá bằng DER
|
spki_hash_algorithm |
Thuật toán dùng để tạo |
Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần kiểm tra đối chiếu với cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Cần được xác thực dựa trên tập hợp đáng tin cậy của các đơn vị phát hành xác thực. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
role |
Chứa một trong các giá trị sau: |