Trang này được dịch bởi Cloud Translation API.

Mã thông báo uỷ quyền

Mã thông báo truy cập (JWT: RFC 7516) do Google cấp để xác minh rằng phương thức gọi được uỷ quyền để mã hoá hoặc giải mã một tài nguyên.

Để ngăn chặn hành vi sai trái, Dịch vụ danh sách kiểm soát quyền truy cập khoá (KACLS) phải xác minh rằng phương thức gọi được uỷ quyền để mã hoá đối tượng (tệp hoặc tài liệu) trước khi gói khoá và giải mã khoá trước khi khám phá DEK.

Mã thông báo uỷ quyền cho tính năng mã hoá phía máy khách (CSE) của Tài liệu và Drive, Lịch và Meet

Biểu diễn dưới dạng JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Trường
`aud`	`string` Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ.
`email`	`string (UTF-8)` Địa chỉ email của người dùng.
`email_type`	`string` Chứa một trong các giá trị sau: `google`: Email này thuộc về một Tài khoản Google. `google-visitor`: Email này không thuộc Tài khoản Google nhưng đã được Google xác minh bằng mã PIN. `customer-idp`: Email này không thuộc Tài khoản Google nhưng email của người dùng đã được trích xuất bằng một IdP do khách hàng định cấu hình. Bạn có thể huỷ thiết lập thông báo xác nhận quyền sở hữu; trong trường hợp đó, giá trị mặc định là "google".
`exp`	`string` Thời gian hết hạn.
`iat`	`string` Thời gian phát hành.
`iss`	`string` Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy.
`kacls_url`	`string` URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).
`perimeter_id`	`string (UTF-8)` (Không bắt buộc) Một giá trị gắn với vị trí tài liệu có thể dùng để chọn chu vi sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte.
`resource_name`	`string (UTF-8)` Giá trị nhận dạng cho đối tượng được DEK mã hoá. Kích thước tối đa: 128 byte.
`role`	`string` Chứa một trong các giá trị sau: `reader`: Chỉ được phép gọi `unwrap`. `writer`: Được phép gọi cả `wrap` và `unwrap`

Mã thông báo uỷ quyền cho tính năng CSE của Gmail

Biểu diễn dưới dạng JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Biểu diễn dưới dạng JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Trường
`aud`	`string` Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ.
`email`	`string (UTF-8)` Địa chỉ email của người dùng.
`exp`	`string` Thời gian hết hạn.
`iat`	`string` Thời gian phát hành.
`message_id`	`string` Giá trị nhận dạng của thông báo thực hiện quá trình giải mã hoặc ký. Được dùng làm lý do kiểm tra cho khách hàng.
`iss`	`string` Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy.
`kacls_url`	`string` URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).
`perimeter_id`	`string (UTF-8)` (Không bắt buộc) Một giá trị gắn với vị trí tài liệu có thể dùng để chọn chu vi nào sẽ được kiểm tra khi khám phá. Kích thước tối đa: 128 byte.
`resource_name`	`string (UTF-8)` Giá trị nhận dạng cho đối tượng được DEK mã hoá. Kích thước tối đa: 512 byte.
`role`	`string` Chứa một trong các giá trị sau: `decrypter`: Có thể giải mã. `signer`: Có thể ký.
`spki_hash`	`string` Chuỗi đại diện chuẩn được mã hoá base64 của `SubjectPublicKeyInfo` được mã hoá DER của khoá riêng tư đang được truy cập.
`spki_hash_algorithm`	`string` Thuật toán dùng để tạo `spki_hash`. Có thể là `SHA-256`.

Mã thông báo uỷ quyền cho dịch vụ di chuyển KACLS

Biểu diễn dưới dạng JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Trường
`aud`	`string` Đối tượng, do Google xác định. Phải được kiểm tra dựa trên cấu hình cục bộ.
`email`	`string (UTF-8)` Địa chỉ email của người dùng.
`exp`	`string` Thời gian hết hạn.
`iat`	`string` Thời gian phát hành.
`iss`	`string` Nhà phát hành mã thông báo. Phải được xác thực theo nhóm tổ chức phát hành phương thức xác thực đáng tin cậy.
`kacls_url`	`string` URL KACLS cơ sở đã định cấu hình, dùng để ngăn chặn các cuộc tấn công xen giữa (PITM).
`role`	`string` Chứa một trong các giá trị sau: `migrator`: Chỉ được phép gọi `rewrap`. `verifier`: Chỉ được phép gọi `digest`.