Token okaziciela (JWT: RFC 7516) wydany przez Google w celu weryfikacji, czy element wywołujący jest uprawniony do szyfrowania i odszyfrowywania zasobu.
Aby zapobiec nadużyciom, usługa listy kontroli dostępu do kluczy (KACLS) powinna sprawdzić, czy element wywołujący jest uprawniony do szyfrowania obiektu (pliku lub dokumentu) przed spakowaniem klucza i odszyfrowaniem go przed wyodrębnieniem DEK.
Token autoryzacji do szyfrowania po stronie klienta w Dokumentach, Kalendarzu i Meet
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Pola | |
---|---|
aud |
Odbiorcy, którzy zostali zidentyfikowani przez Google. Ta wartość powinna być sprawdzana pod kątem konfiguracji lokalnej. |
email |
Adres e-mail użytkownika. |
email_type |
Zawiera jedną z tych wartości:
|
exp |
Okres ważności. |
iat |
Czas wydania. |
iss |
Wydawca tokena. Aplikacja powinna zostać zweryfikowana w oparciu o listę zaufanych wystawców uwierzytelniania. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS używany do zapobiegania atakom typu „person in the middle” (PITM). |
perimeter_id |
(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, według której można wybrać granicę, która zostanie sprawdzona podczas wyodrębniania. Maksymalny rozmiar: 128 bajtów. |
resource_name |
Identyfikator obiektu zaszyfrowanego przez DEK. Maksymalny rozmiar: 128 bajtów. |
role |
Zawiera jedną z tych wartości: |
Token autoryzacji szyfrowania po stronie klienta w Gmailu
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Pola | |
---|---|
aud |
Odbiorcy, którzy zostali zidentyfikowani przez Google. Ta wartość powinna być sprawdzana pod kątem konfiguracji lokalnej. |
email |
Adres e-mail użytkownika. |
exp |
Okres ważności. |
iat |
Czas wydania. |
message_id |
Identyfikator wiadomości, na której wykonywane jest odszyfrowywanie lub podpisywanie. Używany jako uzasadnienie dla klienta na potrzeby audytu. |
iss |
Wydawca tokena. Aplikacja powinna zostać zweryfikowana w oparciu o listę zaufanych wystawców uwierzytelniania. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS używany do zapobiegania atakom typu „person in the middle” (PITM). |
perimeter_id |
(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, według której można wybrać granicę, która ma być sprawdzana podczas wyodrębniania. Maksymalny rozmiar: 128 bajtów. |
resource_name |
Identyfikator obiektu zaszyfrowanego przez DEK. Maksymalny rozmiar: 512 bajtów. |
role |
Zawiera jedną z tych wartości:
|
spki_hash |
Standardowy skrót zakodowany w standardzie base64 |
spki_hash_algorithm |
Algorytm używany do generowania |
Token autoryzacji dla usługi migracji KACLS
Zapis JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Pola | |
---|---|
aud |
Odbiorcy, którzy zostali zidentyfikowani przez Google. Ta wartość powinna być sprawdzana pod kątem konfiguracji lokalnej. |
email |
Adres e-mail użytkownika. |
exp |
Okres ważności. |
iat |
Czas wydania. |
iss |
Wydawca tokena. Aplikacja powinna zostać zweryfikowana w oparciu o listę zaufanych wystawców uwierzytelniania. |
kacls_url |
Skonfigurowany podstawowy adres URL KACLS używany do zapobiegania atakom typu „person in the middle” (PITM). |
role |
Zawiera jedną z tych wartości: |