Esta página foi traduzida pela API Cloud Translation.

Tokens de autorização

Token do portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar um recurso.

Para evitar abusos, o serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) precisa verificar se o autor da chamada está autorizado a criptografar o objeto (arquivo ou documento) antes de encapsular a chave e a descriptografá-la antes de desencapsular a DEK.

Token de autorização para criptografia do lado do cliente (CSE) do app Documentos, Drive, Agenda e Meet

Representação JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`email_type`	`string` Contém um dos valores a seguir: `google`: este e-mail pertence a uma Conta do Google. `google-visitor`: este e-mail não pertence a uma Conta do Google, mas foi verificado pelo Google. `customer-idp`: esse e-mail não pertence a uma Conta do Google, mas o e-mail do usuário foi extraído usando um IdP configurado pelo cliente. A reivindicação não pode ser cancelada. Nesse caso, o valor padrão é "google".
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro será verificado ao desencapsular. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Identificador do objeto criptografado pela DEK. Tamanho máximo: 128 bytes.
`role`	`string` Contém um dos valores a seguir: `reader`: permissão para chamar apenas `unwrap`. `writer`: tem permissão para chamar `wrap` e `unwrap`.

Token de autorização para a CSE do Gmail

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representação JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`message_id`	`string` Um identificador da mensagem em que a descriptografia ou a assinatura é realizada. Usado como motivo do cliente para fins de auditoria.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro é verificado ao desencapsular. Tamanho máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Identificador do objeto criptografado pela DEK. Tamanho máximo: 512 bytes.
`role`	`string` Contém um dos valores a seguir: `decrypter`: pode descriptografar. `signer`: pode assinar.
`spki_hash`	`string` Resumo codificado em base64 padrão do `SubjectPublicKeyInfo` codificado em DER da chave privada que está sendo acessada.
`spki_hash_algorithm`	`string` Algoritmo usado para produzir `spki_hash`. Pode ser `SHA-256`.

Token de autorização para o serviço de migração do KACLS

Representação JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local.
`email`	`string (UTF-8)` O endereço de e-mail do usuário.
`exp`	`string` Tempo de expiração.
`iat`	`string` Horário de emissão.
`iss`	`string` O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.
`kacls_url`	`string` O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM).
`role`	`string` Contém um dos valores a seguir: `migrator`: permissão para chamar apenas `rewrap`. `verifier`: permissão para chamar apenas `digest`.