不记名令牌(JWT:RFC 7516) 用于验证调用方是否有权进行加密或解密 资源。
为了防止滥用,密钥访问控制列表服务 (KACLS) 应验证 调用方有权加密对象(文件或文档), 封装密钥并解密,然后再解封装 DEK。
用于 Google 文档和云端硬盘、日历和 Meet 客户端加密功能 (CSE)
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
由 Google 标识的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
email_type |
包含以下值之一:
|
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。 |
kacls_url |
配置的基本 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置关联的值,可用于选择在解封时检查哪个边界。大小上限:128 个字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 个字节。 |
role |
包含以下值之一: |
Gmail CSE 的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
|
| 字段 | |
|---|---|
aud |
由 Google 标识的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
message_id |
需要解密或签署的消息 。用作审核目的的客户原因。 |
iss |
令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。 |
kacls_url |
配置的基本 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
perimeter_id |
(可选)与文档位置关联的值,可用于选择在解封时检查哪个边界。大小上限:128 个字节。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:512 个字节。 |
role |
包含以下值之一:
|
spki_hash |
所访问私钥的 DER 编码 |
spki_hash_algorithm |
用于生成 |
KACLS 迁移服务的授权令牌
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
|
| 字段 | |
|---|---|
aud |
由 Google 标识的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。 |
kacls_url |
配置的基本 KACLS 网址,用于防止中间人 (PITM) 攻击。 |
role |
包含以下值之一: |