Mã thông báo truy cập (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền để mã hoá hoặc giải mã một tài nguyên.
Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) phải xác minh rằng phương thức gọi được uỷ quyền để mã hoá đối tượng (tệp hoặc tài liệu) trước khi gói khoá và giải mã khoá trước khi khám phá DEK.
Mã thông báo uỷ quyền cho tính năng mã hoá phía máy khách (CSE) của Tài liệu và Drive, Lịch và Meet
Biểu diễn dưới dạng JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Trường | |
---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
email_type |
Chứa một trong các giá trị sau:
|
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Một giá trị gắn với vị trí tài liệu có thể dùng để chọn chu vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được DEK mã hoá. Kích thước tối đa: 128 byte. |
role |
Chứa một trong các giá trị sau: |
Mã thông báo uỷ quyền cho tính năng CSE của Gmail
Biểu diễn dưới dạng JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Trường | |
---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
message_id |
Giá trị nhận dạng của thông báo thực hiện quá trình giải mã hoặc ký. Được dùng làm lý do kiểm tra cho khách hàng. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
perimeter_id |
(Không bắt buộc) Một giá trị gắn với vị trí tài liệu có thể dùng để chọn chu vi nào sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte. |
resource_name |
Giá trị nhận dạng cho đối tượng được DEK mã hoá. Kích thước tối đa: 512 byte. |
role |
Chứa một trong các giá trị sau:
|
spki_hash |
Chuỗi đại diện chuẩn được mã hoá base64 của |
spki_hash_algorithm |
Thuật toán dùng để tạo |
Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS
Biểu diễn dưới dạng JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Trường | |
---|---|
aud |
Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ. |
email |
Địa chỉ email của người dùng. |
exp |
Thời gian hết hạn. |
iat |
Thời gian phát hành. |
iss |
Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy. |
kacls_url |
URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM). |
role |
Chứa một trong các giá trị sau: |