不记名令牌(JWT:RFC 7516) (由身份合作伙伴 (IdP) 颁发),用于证明用户的身份。
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 字段 | |
|---|---|
aud |
由 IdP 标识的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。 |
google_email |
可选声明,在此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明 包含用户的 Google Workspace 电子邮件身份。 |
... |
您的密钥访问控制列表服务 (KACLS) 可随意使用任何其他声明(位置、自定义声明等)来评估边界。 |
“PrivilegedUnwrap”的 KACLS 身份验证令牌
不记名令牌(JWT:RFC 7516) (由身份合作伙伴 (IdP) 颁发),用于证明用户的身份。
这仅适用于 PrivilegedUnwrap。在 PrivilegedUnwrap 期间,如果 KACLS
JWT 代替了 IDP 身份验证令牌,因此收件人的 KACLS 必须
首先提取颁发者的 JWKS,然后验证令牌签名,
检查声明。
| JSON 表示法 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 字段 | |
|---|---|
aud |
由 IdP 标识的受众群体。对于云端硬盘客户端加密功能 (CSE) |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。必须与发出请求的 KACLS 的 |
kacls_url |
当前用于解密数据的 KACLS 的网址。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 个字节。 |
... |
您的密钥访问控制列表服务 (KACLS) 可随意使用任何其他声明(位置、自定义声明等)来评估边界。 |