Token do portador (JWT: RFC 7516) emitido pelo Google para verificar se o autor da chamada está autorizado a criptografar ou descriptografar um recurso.
Para evitar abusos, o serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) precisa verificar se o autor da chamada está autorizado a criptografar o objeto (arquivo ou documento) antes de encapsular a chave e a descriptografá-la antes de desencapsular a DEK.
Token de autorização para criptografia do lado do cliente (CSE) do app Documentos, Drive, Agenda e Meet
Representação JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Campos | |
---|---|
aud |
O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local. |
email |
O endereço de e-mail do usuário. |
email_type |
Contém um dos valores a seguir:
|
exp |
Tempo de expiração. |
iat |
Horário de emissão. |
iss |
O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. |
kacls_url |
O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM). |
perimeter_id |
(Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro será verificado ao desencapsular. Tamanho máximo: 128 bytes. |
resource_name |
Identificador do objeto criptografado pela DEK. Tamanho máximo: 128 bytes. |
role |
Contém um dos valores a seguir: |
Token de autorização para a CSE do Gmail
Representação JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Campos | |
---|---|
aud |
O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local. |
email |
O endereço de e-mail do usuário. |
exp |
Tempo de expiração. |
iat |
Horário de emissão. |
message_id |
Um identificador da mensagem em que a descriptografia ou a assinatura é realizada. Usado como motivo do cliente para fins de auditoria. |
iss |
O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. |
kacls_url |
O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM). |
perimeter_id |
(Opcional) Um valor vinculado ao local do documento que pode ser usado para escolher qual perímetro é verificado ao desencapsular. Tamanho máximo: 128 bytes. |
resource_name |
Identificador do objeto criptografado pela DEK. Tamanho máximo: 512 bytes. |
role |
Contém um dos valores a seguir:
|
spki_hash |
Resumo codificado em base64 padrão do |
spki_hash_algorithm |
Algoritmo usado para produzir |
Token de autorização para o serviço de migração do KACLS
Representação JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Campos | |
---|---|
aud |
O público-alvo, conforme identificado pelo Google. Precisa ser comparada com a configuração local. |
email |
O endereço de e-mail do usuário. |
exp |
Tempo de expiração. |
iat |
Horário de emissão. |
iss |
O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. |
kacls_url |
O URL KACLS de base configurado, usado para evitar ataques do tipo "person-in-the-middle" (PITM). |
role |
Contém um dos valores a seguir: |