Se usó la API de Cloud Translation para traducir esta página.

Tokens de autorización

Token del portador (JWT: RFC 7516) emitidos por Google para verificar que el emisor esté autorizado a encriptar o desencriptar un recurso.

Para evitar abusos, el servicio de listas de control de acceso a las claves (KACLS) debe verificar lo siguiente: el emisor está autorizado a encriptar el objeto (archivo o documento) antes unir la clave y desencriptarla antes de separar la DEK.

Token de autorización para Documentos y Encriptación del cliente (CSE) de Drive, Calendario y Meet

Representación JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google Se debe comparar con la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`email_type`	`string` Contiene uno de los siguientes valores: `google`: Este correo electrónico pertenece a una Cuenta de Google. `google-visitor`: Este correo electrónico no pertenece a una Cuenta de Google, pero Google verificó el código PIN. `customer-idp`: Este correo electrónico no pertenece a una Cuenta de Google, pero el correo electrónico del usuario se extrajo mediante un IdP configurado por el cliente. El reclamo se puede desactivar. en ese caso, el valor predeterminado es "google".
`exp`	`string` Hora de vencimiento.
`iat`	`string` Tiempo de emisión
`iss`	`string` El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).
`perimeter_id`	`string (UTF-8)` Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará cuando se desenvuelva (opcional). Tamaño máximo: 128 bytes
`resource_name`	`string (UTF-8)` Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes
`role`	`string` Contiene uno de los siguientes valores: `reader`: Solo se puede llamar a `unwrap`. `writer`: Se puede llamar a `wrap` y a `unwrap`.

Token de autorización para la CSE de Gmail

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representación JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` El público, tal como lo identifica Google Se debe comparar con la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento.
`iat`	`string` Tiempo de emisión
`message_id`	`string` Un identificador para el mensaje en el que la desencriptación o la firma de que ocurra la evaluación. Se usa como motivo del cliente para fines de auditoría.
`iss`	`string` El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).
`perimeter_id`	`string (UTF-8)` Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se debe marcar cuando se desenvuelve (opcional). Tamaño máximo: 128 bytes
`resource_name`	`string (UTF-8)` Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 512 bytes
`role`	`string` Contiene uno de los siguientes valores: `decrypter`: Puede desencriptar el mensaje. `signer`: Puede firmar.
`spki_hash`	`string` Resumen estándar codificado en base64 del `SubjectPublicKeyInfo` con codificación DER de la clave privada a la que se accede.
`spki_hash_algorithm`	`string` Algoritmo que se usa para producir `spki_hash`. Puede ser `SHA-256`.

Token de autorización para el servicio de migración KACLS

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google Se debe comparar con la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento.
`iat`	`string` Tiempo de emisión
`iss`	`string` El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).
`role`	`string` Contiene uno de los siguientes valores: `migrator`: Solo se puede llamar a `rewrap`. `verifier`: Solo se puede llamar a `digest`.