Inhabertoken (JWT: RFC 7516), das von Google ausgestellt wird, um zu bestätigen, dass der Aufrufer zum Verschlüsseln oder Entschlüsseln einer Ressource berechtigt ist.
Zur Vermeidung von Missbrauch sollte der Key Access Control List Service (KACLS) überprüfen, ob der Aufrufer berechtigt ist, das Objekt (Datei oder Dokument) zu verschlüsseln, bevor der Schlüssel verpackt und entpackt wird.
Autorisierungstoken für die clientseitige Verschlüsselung von Google Docs und Google Drive, Google Kalender und Google Meet
JSON-Darstellung | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Felder | |
---|---|
aud |
Die Zielgruppe, wie von Google identifiziert Sollte mit der lokalen Konfiguration abgeglichen werden. |
email |
Die E-Mail-Adresse des Nutzers. |
email_type |
Enthält einen der folgenden Werte:
|
exp |
Ablaufzeit. |
iat |
Ausstellungszeit. |
iss |
Der Tokenaussteller. Muss anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. |
kacls_url |
Die konfigurierte KACLS-Basis-URL zum Verhindern von Personen-in-the-Middle-Angriffen (PTM). |
perimeter_id |
(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und zur Auswahl des Perimeters verwendet werden kann, der beim Entpacken geprüft wird. Maximale Größe: 128 Byte. |
resource_name |
Eine Kennung für das Objekt, das vom DEK verschlüsselt wurde. Maximale Größe: 128 Byte. |
role |
Enthält einen der folgenden Werte: |
Autorisierungstoken für die clientseitige Verschlüsselung in Gmail
JSON-Darstellung | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Felder | |
---|---|
aud |
Die Zielgruppe, wie von Google identifiziert Sollte mit der lokalen Konfiguration abgeglichen werden. |
email |
Die E-Mail-Adresse des Nutzers. |
exp |
Ablaufzeit. |
iat |
Ausstellungszeit. |
message_id |
Eine Kennung für die Nachricht, für die die Entschlüsselung oder Signatur ausgeführt wird. Wird als Kundengrund zu Prüfzwecken verwendet. |
iss |
Der Tokenaussteller. Muss anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. |
kacls_url |
Die konfigurierte KACLS-Basis-URL zum Verhindern von Personen-in-the-Middle-Angriffen (PTM). |
perimeter_id |
(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und zum Auswählen des Perimeters beim Entpacken verwendet werden kann. Maximale Größe: 128 Byte. |
resource_name |
Eine Kennung für das Objekt, das vom DEK verschlüsselt wurde. Maximale Größe: 512 Byte. |
role |
Enthält einen der folgenden Werte:
|
spki_hash |
Standardmäßiger base64-codierter Digest des DER-codierten |
spki_hash_algorithm |
Der zum Erzeugen von |
Autorisierungstoken für den KACLS-Migrationsdienst
JSON-Darstellung | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Felder | |
---|---|
aud |
Die Zielgruppe, wie von Google identifiziert Sollte mit der lokalen Konfiguration abgeglichen werden. |
email |
Die E-Mail-Adresse des Nutzers. |
exp |
Ablaufzeit. |
iat |
Ausstellungszeit. |
iss |
Der Tokenaussteller. Muss anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. |
kacls_url |
Die konfigurierte KACLS-Basis-URL zum Verhindern von Personen-in-the-Middle-Angriffen (PTM). |
role |
Enthält einen der folgenden Werte: |