Token pembawa (JWT: RFC 7516) dikeluarkan oleh Google untuk memverifikasi bahwa pemanggil diberi otorisasi untuk mengenkripsi atau mendekripsi resource.
Untuk mencegah penyalahgunaan, Key Access Control List Service (KACLS) harus memverifikasi bahwa pemanggil telah diberi otorisasi untuk mengenkripsi objek (file atau dokumen) sebelum menggabungkan kunci dan mendekripsinya sebelum membuka DEK.
Token otorisasi untuk enkripsi sisi klien (CSE) Dokumen & Drive, Kalender, dan Meet
Representasi JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Kolom | |
---|---|
aud |
Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa dengan konfigurasi lokal. |
email |
Alamat email pengguna. |
email_type |
Berisi salah satu nilai berikut:
|
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi dengan kumpulan penerbit autentikasi tepercaya. |
kacls_url |
URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM). |
perimeter_id |
(Opsional) Nilai yang terkait dengan lokasi dokumen yang dapat digunakan untuk memilih perimeter mana yang akan diperiksa saat dibuka. Ukuran maksimum: 128 byte. |
resource_name |
ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte. |
role |
Berisi salah satu nilai berikut: |
Token otorisasi untuk CSE Gmail
Representasi JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Kolom | |
---|---|
aud |
Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa dengan konfigurasi lokal. |
email |
Alamat email pengguna. |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
message_id |
ID untuk pesan tempat dekripsi atau penandatanganan dilakukan. Digunakan sebagai alasan klien untuk tujuan audit. |
iss |
Penerbit token. Harus divalidasi dengan kumpulan penerbit autentikasi tepercaya. |
kacls_url |
URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM). |
perimeter_id |
(Opsional) Nilai yang terkait dengan lokasi dokumen yang dapat digunakan untuk memilih perimeter mana yang akan diperiksa saat membuka dokumen. Ukuran maksimum: 128 byte. |
resource_name |
ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 512 byte. |
role |
Berisi salah satu nilai berikut:
|
spki_hash |
Ringkasan standar berenkode base64 dari |
spki_hash_algorithm |
Algoritma yang digunakan untuk menghasilkan |
Token otorisasi untuk layanan migrasi KACLS
Representasi JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Kolom | |
---|---|
aud |
Audiens, seperti yang diidentifikasi oleh Google. Harus diperiksa dengan konfigurasi lokal. |
email |
Alamat email pengguna. |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi dengan kumpulan penerbit autentikasi tepercaya. |
kacls_url |
URL KACLS dasar yang dikonfigurasi, digunakan untuk mencegah serangan person-in-the-middle (PITM). |
role |
Berisi salah satu nilai berikut: |