此页面由 Cloud Translation API 翻译。

授权令牌

由 Google 签发的 Bearer 令牌 (JWT：RFC 7516)，用于验证调用者是否有权对资源进行加密或解密。

为防止滥用，密钥访问控制列表服务 (KACLS) 应在封装密钥之前验证调用方是否有权对对象（文件或文档）进行加密，并在解封装 DEK 之前验证调用方是否有权对其进行解密。

文档和云端硬盘、日历和 Meet 客户端加密功能 (CSE) 的授权令牌

JSON 表示法
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

字段
`aud`	`string` Google 识别的受众群体。应与本地配置进行核对。
`email`	`string (UTF-8)` 用户的电子邮件地址。
`email_type`	`string` 包含以下某个值： `google`：此电子邮件地址属于某个 Google 账号。 `google-visitor`：此电子邮件地址不属于任何 Google 账号，但已通过 Google 的 PIN 码验证。 `customer-idp`：此电子邮件地址不属于 Google 账号，但用户的电子邮件地址是使用客户配置的 IdP 提取的。您可以取消设置该声明；在这种情况下，默认值为 `google`。
`exp`	`string` 到期时间。
`iat`	`string` 发卡时间。
`iss`	`string` 令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。
`kacls_url`	`string` 已配置的基准 KACLS 网址，用于防范中间人 (PITM) 攻击。
`perimeter_id`	`string (UTF-8)` （可选）与文档位置相关联的值，可用于选择在展开时要检查的边界。大小上限：128 字节。
`resource_name`	`string (UTF-8)` 由 DEK 加密的对象的标识符。大小上限：128 字节。
`role`	`string` 包含以下某个值： `reader`：仅允许调用 `unwrap`。 `writer`：允许同时调用 `wrap` 和 `unwrap`

Gmail CSE 的授权令牌

JSON 表示法
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

JSON 表示法

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

字段
`aud`	`string` Google 识别的受众群体。应与本地配置进行核对。
`email`	`string (UTF-8)` 用户的电子邮件地址。
`exp`	`string` 到期时间。
`iat`	`string` 发卡时间。
`message_id`	`string` 要执行解密或签名的邮件的标识符。用于出于审核目的提供客户原因。
`iss`	`string` 令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。
`kacls_url`	`string` 已配置的基准 KACLS 网址，用于防范中间人 (PITM) 攻击。
`perimeter_id`	`string (UTF-8)` （可选）与文档位置相关联的值，可用于选择展开时要检查的边界。大小上限：128 字节。
`resource_name`	`string (UTF-8)` 由 DEK 加密的对象的标识符。大小上限：512 字节。
`role`	`string` 包含以下某个值： `decrypter`：可以解密。 `signer`：可以签名。
`spki_hash`	`string` 要访问的私钥的 DER 编码 `SubjectPublicKeyInfo` 的标准 base64 编码摘要。
`spki_hash_algorithm`	`string` 用于生成 `spki_hash` 的算法。例如：`SHA-256`。

KACLS 迁移服务的授权令牌

JSON 表示法
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

字段
`aud`	`string` Google 识别的受众群体。应与本地配置进行核对。
`email`	`string (UTF-8)` 用户的电子邮件地址。
`exp`	`string` 到期时间。
`iat`	`string` 发卡时间。
`iss`	`string` 令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。
`kacls_url`	`string` 已配置的基准 KACLS 网址，用于防范中间人 (PITM) 攻击。
`role`	`string` 包含以下某个值： `migrator`：仅允许调用 `rewrap`。 `verifier`：仅允许调用 `digest`。