אסימון למוכ"ז (JWT: RFC 7516) ש-Google הונפקה כדי לאמת שהמתקשר מורשה להצפין משאב או לפענח אותו.
כדי למנוע ניצול לרעה, על שירות רשימת בקרת הגישה למפתחות (KACLS) לאמת שהמתקשר מורשה להצפין את האובייקט (קובץ או מסמך) לפני אריזה של המפתח ולפענוח שלו לפני פתיחת ה-DEK.
אסימון הרשאה ל-Docs ול-Drive, להצפנה מצד הלקוח ביומן Google ול-Meet (CSE)
ייצוג JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
שדות | |
---|---|
aud |
הקהל, כפי ש-Google זיהתה. יש לבדוק אותו מול ההגדרות המקומיות. |
email |
זוהי כתובת האימייל של המשתמש. |
email_type |
מכיל אחד מהערכים הבאים:
|
exp |
מועד תפוגה. |
iat |
זמן ההנפקה. |
iss |
מנפיק האסימון. צריך לאמת מול הקבוצה המהימנה של מנפיקי האימות. |
kacls_url |
כתובת ה-URL הבסיסית של KACLS, המשמשת למניעת התקפות אדם בתווך (PITM). |
perimeter_id |
(אופציונלי) ערך הקשור למיקום המסמך וניתן להשתמש בו כדי לבחור את ההיקף שייבדק במהלך פתיחת האריזה. גודל מקסימלי: 128 בייטים. |
resource_name |
מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים. |
role |
מכיל אחד מהערכים הבאים: |
אסימון הרשאה ל-CSE של Gmail
ייצוג JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
שדות | |
---|---|
aud |
הקהל, כפי ש-Google זיהתה. יש לבדוק אותו מול ההגדרות המקומיות. |
email |
זוהי כתובת האימייל של המשתמש. |
exp |
מועד תפוגה. |
iat |
זמן ההנפקה. |
message_id |
מזהה להודעה שבה מתבצע הפענוח או החתימה. משמש כסיבת לקוח למטרות ביקורת. |
iss |
מנפיק האסימון. צריך לאמת מול הקבוצה המהימנה של מנפיקי האימות. |
kacls_url |
כתובת ה-URL הבסיסית של KACLS, המשמשת למניעת התקפות אדם בתווך (PITM). |
perimeter_id |
(אופציונלי) ערך הקשור למיקום המסמך, וניתן להשתמש בו כדי לבחור את ההיקף שייבדק במהלך פתיחת האריזה. גודל מקסימלי: 128 בייטים. |
resource_name |
מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 512 בייטים. |
role |
מכיל אחד מהערכים הבאים:
|
spki_hash |
תקציר סטנדרטי בקידוד base64 של |
spki_hash_algorithm |
האלגוריתם שמשמש ליצירת |
אסימון הרשאה לשירות העברת KACLS
ייצוג JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
שדות | |
---|---|
aud |
הקהל, כפי ש-Google זיהתה. יש לבדוק אותו מול ההגדרות המקומיות. |
email |
זוהי כתובת האימייל של המשתמש. |
exp |
מועד תפוגה. |
iat |
זמן ההנפקה. |
iss |
מנפיק האסימון. צריך לאמת מול הקבוצה המהימנה של מנפיקי האימות. |
kacls_url |
כתובת ה-URL הבסיסית של KACLS, המשמשת למניעת התקפות אדם בתווך (PITM). |
role |
מכיל אחד מהערכים הבאים: |