Эта страница переведена с помощью Cloud Translation API.

Токены авторизации

Токен на предъявителя ( JWT: RFC 7516 ), выпущенный Google для подтверждения того, что вызывающий абонент уполномочен шифровать или расшифровывать ресурс.

Чтобы предотвратить злоупотребления, служба списков контроля доступа к ключам (KACLS) должна проверять, имеет ли вызывающий абонент полномочия шифровать объект (файл или документ) перед упаковкой ключа и расшифровывать его перед распаковкой DEK.

Токен авторизации для шифрования на стороне клиента Docs & Drive, Calendar и Meet (CSE)

JSON-представление
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

JSON-представление

{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}

Поля
`aud`	`string` Аудитория, определённая Google. Необходимо сверить с локальной конфигурацией.
`delegated_to`	`string` (Необязательно) Адрес электронной почты пользователя, имеющего доступ к ресурсу.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`email_type`	`string` Содержит одно из следующих значений: `google` : Этот адрес электронной почты принадлежит учетной записи Google. `google-visitor` : Этот адрес электронной почты не принадлежит учетной записи Google, но был подтвержден PIN-кодом Google. `customer-idp` : этот адрес электронной почты не принадлежит учетной записи Google, но адрес электронной почты пользователя был извлечен с помощью настроенного клиентом IdP. Претензию можно отменить; в этом случае значением по умолчанию будет `google`.
`exp`	`string` Срок действия.
`iat`	`string` Время выдачи.
`iss`	`string` Эмитент токена. Должен быть проверен по доверенному набору эмитентов аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`perimeter_id`	`string (UTF-8)` (Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора периметра, который будет проверяться при развёртывании. Максимальный размер: 128 байт.
`resource_name`	`string (UTF-8)` Идентификатор объекта, зашифрованного DEK. Максимальный размер: 128 байт.
`role`	`string` Содержит одно из следующих значений: `reader` : Разрешено вызывать только `unwrap` . `writer` : разрешено вызывать как `wrap` , так и `unwrap`

Токен авторизации для Gmail CSE

JSON-представление
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

JSON-представление

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Поля
`aud`	`string` Аудитория, определённая Google. Необходимо сверить с локальной конфигурацией.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`exp`	`string` Срок действия.
`iat`	`string` Время выдачи.
`message_id`	`string` Идентификатор сообщения, для которого выполняется расшифровка или подписание. Используется в качестве клиентского аргумента для целей аудита.
`iss`	`string` Эмитент токена. Должен быть проверен по доверенному набору эмитентов аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`perimeter_id`	`string (UTF-8)` (Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора периметра, проверяемого при развёртывании. Максимальный размер: 128 байт.
`resource_name`	`string (UTF-8)` Идентификатор объекта, зашифрованного DEK. Максимальный размер: 512 байт.
`role`	`string` Содержит одно из следующих значений: `decrypter` : Может расшифровывать. `signer` : Может подписать.
`spki_hash`	`string` Стандартный дайджест в кодировке base64 DER-кодированного `SubjectPublicKeyInfo` закрытого ключа, к которому осуществляется доступ.
`spki_hash_algorithm`	`string` Алгоритм, используемый для создания `spki_hash` . Может быть `SHA-256` .

Токен авторизации для службы миграции KACLS

JSON-представление
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Поля
`aud`	`string` Аудитория, определённая Google. Необходимо сверить с локальной конфигурацией.
`email`	`string (UTF-8)` Адрес электронной почты пользователя.
`exp`	`string` Срок действия.
`iat`	`string` Время выдачи.
`iss`	`string` Эмитент токена. Должен быть проверен по доверенному набору эмитентов аутентификации.
`kacls_url`	`string` Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).
`role`	`string` Содержит одно из следующих значений: `migrator` : Разрешено вызывать только `rewrap` . `verifier` : разрешено вызывать только `digest` .

Токены авторизации Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

Токен авторизации для шифрования на стороне клиента Docs & Drive, Calendar и Meet (CSE)

Токен авторизации для Gmail CSE

Токен авторизации для службы миграции KACLS

Токены авторизации