Mã thông báo của người mang (JWT: RFC 7516) do Google phát hành để xác minh rằng phương thức gọi được phép mã hoá hoặc giải mã một tài nguyên.
Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát quyền truy cập vào khoá (KACLS) phải xác minh rằng người gọi được phép mã hoá đối tượng (tệp hoặc tài liệu) trước khi bao bọc khoá và giải mã đối tượng đó trước khi mở gói DEK.
Mã thông báo uỷ quyền cho tính năng mã hoá phía máy khách (CSE) của Tài liệu và Drive, Lịch và Meet
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị. |
delegated_to |
(Không bắt buộc) Địa chỉ email của người dùng được uỷ quyền truy cập vào tài nguyên. |
email |
Địa chỉ email của người dùng. |
email_type |
Nhận một trong những giá trị sau:
|
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, được dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị được liên kết với vị trí của tài liệu. Giá trị này có thể dùng để chọn chu vi sẽ được kiểm tra khi mở gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng của đối tượng được mã hoá bằng DEK. Kích thước tối đa: 128 byte. |
role |
Nhận một trong những giá trị sau: |
Mã thông báo uỷ quyền cho CSE của Gmail
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
message_id |
Giá trị nhận dạng của thông báo mà quá trình giải mã hoặc ký được thực hiện. Được dùng làm lý do của khách hàng cho mục đích kiểm tra. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, được dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Giá trị được liên kết với vị trí của tài liệu. Giá trị này có thể dùng để chọn chu vi được kiểm tra khi mở gói. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng của đối tượng được mã hoá bằng DEK. Kích thước tối đa: 512 byte. |
role |
Nhận một trong những giá trị sau:
|
spki_hash |
Bản tóm tắt được mã hoá theo tiêu chuẩn base64 của |
spki_hash_algorithm |
Thuật toán dùng để tạo |
Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS
| Biểu diễn dưới dạng JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| Trường | |
|---|---|
aud |
Đối tượng do Google xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, được dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
role |
Nhận một trong những giá trị sau: |