Trang này được dịch bởi Cloud Translation API.

Mã thông báo xác thực

Mã thông báo của người mang (JWT: RFC 7516) do đối tác nhận dạng (IdP) phát hành để chứng thực danh tính của người dùng.

Biểu diễn dưới dạng JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

Trường
`aud`	`string` Đối tượng, do IdP xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị.
`email`	`string (UTF-8)` Địa chỉ email của người dùng.
`exp`	`string` Thời gian hết hạn.
`iat`	`string` Thời gian phát hành.
`iss`	`string` Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy.
`google_email`	`string` Một khai báo không bắt buộc, được dùng khi khai báo email trong JWT này khác với mã nhận dạng email Google Workspace của người dùng. Thông tin xác nhận này mang danh tính email Google Workspace của người dùng.
`...`	Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) của bạn có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá phạm vi.

Mã thông báo xác thực KACLS cho `delegate`

Mã thông báo xác thực chứa một Mã thông báo web JSON (JWT) (JWT: RFC 7516) là mã thông báo xác thực của người mang.

Đôi khi, người dùng không thể xác thực trực tiếp trên một ứng dụng. Trong những trường hợp này, người dùng có thể uỷ quyền truy cập vào một tài nguyên cụ thể cho ứng dụng đó. Việc này được thực hiện bằng cách phát hành một mã thông báo xác thực được uỷ quyền mới, mã thông báo này sẽ giới hạn phạm vi của mã thông báo xác thực ban đầu.

Mã thông báo xác thực được uỷ quyền tương tự như mã thông báo xác thực thông thường, nhưng có thêm một câu lệnh:

tuyên bố

tuyên bố
`delegated_to`	`string` Giá trị nhận dạng của thực thể để uỷ quyền xác thực.

delegated_to

string

Giá trị nhận dạng của thực thể để uỷ quyền xác thực.

Trong ngữ cảnh uỷ quyền, yêu cầu resource_name trong mã thông báo xác thực được dùng để xác định đối tượng được mã hoá bằng Khoá mã hoá dữ liệu (DEK) mà hoạt động uỷ quyền có hiệu lực.

Mã thông báo này do Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) phát hành bằng lệnh gọi Delegate. Đó có thể là JWT tự ký mà KACLS có thể xác thực, hoặc KACLS có thể sử dụng bất kỳ IdP nào khác để thực hiện việc đó thông qua một lệnh gọi đáng tin cậy.

Để mã thông báo xác thực được uỷ quyền được coi là hợp lệ, bạn phải cung cấp mã thông báo uỷ quyền được uỷ quyền cho cùng một thao tác. Mã uỷ quyền được uỷ quyền tương tự như mã uỷ quyền thông thường, nhưng có thêm giá trị xác nhận delegated_to. Giá trị của các xác nhận quyền sở hữu delegated_to và resource_name phải khớp với các giá trị trong mã thông báo xác thực được uỷ quyền.

Bạn nên đặt giá trị thời gian tồn tại là 15 phút cho mã thông báo xác thực được uỷ quyền để tránh trường hợp có thể sử dụng lại trong trường hợp bị rò rỉ.

Biểu diễn dưới dạng JSON
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

Trường
`email`	`string (UTF-8)` Địa chỉ email của người dùng ở định dạng UTF-8.
`iss`	`string` Trình phát hành mã thông báo phải được xác thực dựa trên bộ trình phát hành xác thực đáng tin cậy.
`aud`	`string` Đối tượng, do IdP xác định. Cần được kiểm tra dựa trên cấu hình trên thiết bị.
`exp`	`string` Bạn nên kiểm tra thời gian hết hạn.
`iat`	`string` Thời gian phát hành, bạn nên kiểm tra.
`delegated_to`	`string` Giá trị nhận dạng của thực thể để uỷ quyền xác thực.
`resource_name`	`string` Giá trị nhận dạng của đối tượng được mã hoá bằng DEK, mà việc uỷ quyền là hợp lệ.
`...`	KACLS có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá chu vi.

Mã thông báo xác thực KACLS cho `PrivilegedUnwrap`

Mã thông báo của người mang (JWT: RFC 7516) do đối tác nhận dạng (IdP) phát hành để chứng thực danh tính của người dùng.

Chỉ dùng trên PrivilegedUnwrap. Trong PrivilegedUnwrap, nếu JWT KACLS được dùng thay cho mã thông báo xác thực IDP, thì KACLS nhận phải tìm nạp JWKS của nhà phát hành trước, sau đó xác minh chữ ký mã thông báo, trước khi kiểm tra các xác nhận quyền sở hữu.

Biểu diễn dưới dạng JSON
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

Trường
`aud`	`string` Đối tượng, do IdP xác định. Đối với các thao tác `PrivilegedUnwrap` mã hoá phía máy khách (CSE) của Drive, đây phải là `kacls-migration`.
`exp`	`string` Thời gian hết hạn.
`iat`	`string` Thời gian phát hành.
`iss`	`string` Tổ chức phát hành mã thông báo. Phải được xác thực dựa trên bộ phát hành xác thực đáng tin cậy. Phải khớp với `KACLS_URL` của KACLS yêu cầu. Bạn có thể tìm thấy bộ khoá công khai của đơn vị phát hành tại `/certs`.
`kacls_url`	`string` URL của KACLS hiện tại mà dữ liệu đang được giải mã.
`resource_name`	`string` Giá trị nhận dạng của đối tượng được mã hoá bằng DEK. Kích thước tối đa: 128 byte.
`...`	Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) của bạn có thể sử dụng miễn phí mọi thông tin xác nhận quyền sở hữu khác (vị trí, thông tin xác nhận quyền sở hữu tuỳ chỉnh, v.v.) để đánh giá phạm vi.

Mã thông báo xác thực Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Mã thông báo xác thực KACLS cho delegate

Mã thông báo xác thực KACLS cho PrivilegedUnwrap

Mã thông báo xác thực

Mã thông báo xác thực KACLS cho `delegate`

Mã thông báo xác thực KACLS cho `PrivilegedUnwrap`