توکن های مجوز

توکن حامل ( JWT: RFC 7516 ) توسط Google برای تأیید اینکه تماس‌گیرنده مجاز به رمزگذاری یا رمزگشایی یک منبع است صادر شده است.

برای جلوگیری از سوء استفاده، سرویس فهرست کنترل دسترسی کلید (KACLS) باید تأیید کند که تماس گیرنده مجاز به رمزگذاری شی (فایل یا سند) قبل از بسته بندی کلید و رمزگشایی آن قبل از باز کردن DEK است.

کد مجوز برای Docs & Drive، Calendar و رمزگذاری سمت مشتری Meet (CSE)

نمایندگی JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
زمینه های
aud

string

مخاطبی که توسط گوگل شناسایی شده است. باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

email_type

string

حاوی یکی از مقادیر زیر است:

  • google : این ایمیل متعلق به یک حساب Google است.
  • google-visitor : این ایمیل متعلق به یک حساب Google نیست، اما با کد پین توسط Google تأیید شده است.
  • customer-idp : این ایمیل به یک حساب Google تعلق ندارد، اما ایمیل کاربر با استفاده از یک IdP پیکربندی شده توسط مشتری استخراج شده است.
  • ادعا را می توان تنظیم نکرد. در این حالت مقدار پیش فرض «google» است.
exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود.

kacls_url

string

URL پایه پیکربندی شده KACLS که برای جلوگیری از حملات شخص در وسط (PITM) استفاده می شود.

perimeter_id

string (UTF-8)

(اختیاری) مقداری که به مکان سند گره خورده است که می تواند برای انتخاب محیطی که هنگام باز کردن بسته بندی بررسی شود، استفاده شود. حداکثر حجم: 128 بایت

resource_name

string (UTF-8)

یک شناسه برای شی رمزگذاری شده توسط DEK. حداکثر حجم: 128 بایت

role

string

حاوی یکی از مقادیر زیر است:

  • reader : فقط برای فراخوانی unwrap مجاز است.
  • writer : مجاز به فراخوانی هم wrap و هم unwrap

نشانه مجوز برای Gmail CSE

نمایندگی JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
زمینه های
aud

string

مخاطبی که توسط گوگل شناسایی شده است. باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

exp

string

زمان انقضا.

iat

string

زمان صدور.

message_id

string

شناسه پیامی که رمزگشایی یا امضا بر روی آن انجام می شود. به عنوان دلیل مشتری برای اهداف حسابرسی استفاده می شود.

iss

string

صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود.

kacls_url

string

URL پایه پیکربندی شده KACLS که برای جلوگیری از حملات شخص در وسط (PITM) استفاده می شود.

perimeter_id

string (UTF-8)

(اختیاری) مقداری که به محل سند گره خورده است که می توان از آن برای انتخاب محیطی که هنگام باز کردن بسته بندی علامت زده شود استفاده کرد. حداکثر حجم: 128 بایت

resource_name

string (UTF-8)

یک شناسه برای شی رمزگذاری شده توسط DEK. حداکثر حجم: 512 بایت.

role

string

حاوی یکی از مقادیر زیر است:

  • decrypter : می تواند رمزگشایی کند.
  • signer : می تواند امضا کند.
spki_hash

string

خلاصه استاندارد پایه ۶۴ رمزگذاری شده SubjectPublicKeyInfo رمزگذاری شده با DER کلید خصوصی در حال دسترسی.

spki_hash_algorithm

string

الگوریتم مورد استفاده برای تولید spki_hash . می تواند SHA-256 باشد.

توکن مجوز برای سرویس مهاجرت KACLS

نمایندگی JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
زمینه های
aud

string

مخاطبی که توسط گوگل شناسایی شده است. باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود.

kacls_url

string

URL پایه پیکربندی شده KACLS که برای جلوگیری از حملات شخص در وسط (PITM) استفاده می شود.

role

string

حاوی یکی از مقادیر زیر است:

  • migrator : فقط برای rewrap مجاز است.
  • verifier : فقط برای فراخوانی digest مجاز است.