Google 签发的不记名令牌 (JWT: RFC 7516),用于验证调用者是否有权加密或解密资源。
为了防止滥用,密钥访问控制列表服务 (KACLS) 应验证调用方是否有权在封装密钥之前加密对象(文件或文档),并在解封 DEK 之前对其进行解密。
适用于文档和云端硬盘、日历和 Meet 的客户端加密功能 (CSE) 的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
受众群体,由 Google 确定。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
email_type |
包含以下某个值:
|
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应根据可信的身份验证颁发者集进行验证。 |
kacls_url |
已配置的基本 KACLS 网址,用于防范中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置关联的值,可用于选择在解封装时要检查哪个边界。大小上限:128 个字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 个字节。 |
role |
包含以下某个值: |
Gmail CSE 的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 字段 | |
|---|---|
aud |
受众群体,由 Google 确定。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
message_id |
对其执行解密或签名的消息的标识符。用作客户原因以进行审核。 |
iss |
令牌颁发者。应根据可信的身份验证颁发者集进行验证。 |
kacls_url |
已配置的基本 KACLS 网址,用于防范中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置关联的值,可用于选择在解封装时检查哪个边界。大小上限:128 个字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:512 个字节。 |
role |
包含以下某个值:
|
spki_hash |
要访问的私钥的 DER 编码的 |
spki_hash_algorithm |
用于生成 |
KACLS 迁移服务的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
受众群体,由 Google 确定。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应根据可信的身份验证颁发者集进行验证。 |
kacls_url |
已配置的基本 KACLS 网址,用于防范中间人 (PITM) 攻击。 |
role |
包含以下某个值: |