token tożsamości (JWT: RFC 7516) wydany przez Google w celu potwierdzenia, że wywołujący ma uprawnienia do szyfrowania lub odszyfrowywania zasobu.
Aby zapobiec nadużyciom, usługa listy kontroli dostępu do kluczy (KACLS) powinna sprawdzić, czy wywołujący ma uprawnienia do zaszyfrowania obiektu (pliku lub dokumentu) przed zaszyfrowaniem klucza i odszyfrowaniem go przed rozpakowaniem DEK.
Token autoryzacji dla szyfrowania po stronie klienta w Dokumentach i Dysku, Kalendarzu i Meet
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Pola | |
---|---|
aud |
Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną. |
email |
Adres e-mail użytkownika. |
email_type |
zawiera jedną z tych wartości:
|
exp |
Czas ważności. |
iat |
Czas wydania. |
iss |
Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM). |
perimeter_id |
(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może służyć do wyboru, który obszar ma być sprawdzany podczas rozpakowywania. Maksymalny rozmiar: 128 bajtów. |
resource_name |
Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów. |
role |
zawiera jedną z tych wartości: |
Token autoryzacji dla szyfrowania po stronie klienta w Gmailu
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Pola | |
---|---|
aud |
Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną. |
email |
Adres e-mail użytkownika. |
exp |
Czas ważności. |
iat |
Czas wydania. |
message_id |
Identyfikator wiadomości, w której przypadku wykonywane jest odszyfrowywanie lub podpisywanie. Służy jako powód klienta do celów audytu. |
iss |
Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM). |
perimeter_id |
(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może służyć do wyboru, który obwód ma być sprawdzany podczas rozpakowywania. Maksymalny rozmiar: 128 bajtów. |
resource_name |
Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK. Maksymalny rozmiar: 512 bajtów. |
role |
zawiera jedną z tych wartości:
|
spki_hash |
Standardowy skrót zakodowany w formacie base64 |
spki_hash_algorithm |
Algorytm użyty do wygenerowania |
Token autoryzacyjny usługi migracji KACLS
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Pola | |
---|---|
aud |
Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną. |
email |
Adres e-mail użytkownika. |
exp |
Czas ważności. |
iat |
Czas wydania. |
iss |
Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM). |
role |
zawiera jedną z tych wartości: |