Se usó la API de Cloud Translation para traducir esta página.

Tokens de autorización

Token del portador (JWT: RFC 7516) que emite Google para verificar que el emisor esté autorizado para encriptar o desencriptar un recurso.

Para evitar abusos, el servicio de listas de control de acceso a claves (KACLS) debe verificar que el emisor esté autorizado para encriptar el objeto (archivo o documento) antes de unir la clave y desencriptarla antes de desunir la DEK.

Token de autorización para Documentos y Drive, Calendario y la encriptación del cliente (CSE) de Meet

Representación JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`email_type`	`string` Contiene uno de los siguientes valores: `google`: Este correo electrónico pertenece a una Cuenta de Google. `google-visitor`: Este correo electrónico no pertenece a una Cuenta de Google, pero Google verificó el código PIN. `customer-idp`: Este correo electrónico no pertenece a una Cuenta de Google, pero el correo electrónico del usuario se extrajo con un IdP configurado por el cliente. No se puede desactivar la reclamación; en ese caso, el valor predeterminado es "google".
`exp`	`string` Hora de vencimiento.
`iat`	`string` Hora de emisión.
`iss`	`string` El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM).
`perimeter_id`	`string (UTF-8)` Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará durante el desenvolvimiento (opcional). Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes.
`role`	`string` Contiene uno de los siguientes valores: `reader`: Solo puede llamar a `unwrap`. `writer`: Puede llamar a `wrap` y a `unwrap`.

Token de autorización para la CSE de Gmail

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representación JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento.
`iat`	`string` Hora de emisión.
`message_id`	`string` Un identificador para el mensaje en el que se realiza la desencriptación o firma. Se usa como motivo del cliente para fines de auditoría.
`iss`	`string` El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM).
`perimeter_id`	`string (UTF-8)` Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se marca cuando se desenvuelve (opcional). Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 512 bytes.
`role`	`string` Contiene uno de los siguientes valores: `decrypter`: Puede desencriptar. `signer`: Puede firmar.
`spki_hash`	`string` Resumen estándar codificado en base64 del `SubjectPublicKeyInfo` con codificación DER de la clave privada a la que se accede.
`spki_hash_algorithm`	`string` Algoritmo que se usa para producir `spki_hash`. Puede ser `SHA-256`.

Token de autorización para el servicio de migración KACLS

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google Debe verificarse con respecto a la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento.
`iat`	`string` Hora de emisión.
`iss`	`string` El emisor del token. Debe validarse en función del conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` La URL base de KACLS configurada, que se usa para evitar ataques de intermediarios (PITM).
`role`	`string` Contiene uno de los siguientes valores: `migrator`: Solo puede llamar a `rewrap`. `verifier`: Solo puede llamar a `digest`.