Cloud de Confiance by S3NS menerbitkan beberapa jenis token, yang berbeda berdasarkan tujuan dan pihak yang bertransaksi dengan token tersebut.
Tabel berikut memberikan ringkasan kategori token utama, yang di dalamnya terdapat berbagai jenis token.
| Kategori token | Jalur komunikasi | Tujuan |
|---|---|---|
| Token akses | Server otorisasi ⭢ Klien ⭢ Google API | Mengizinkan klien memanggil Cloud de Confiance by S3NS API. |
| Token pemberi token | Server otorisasi ⭤ Klien | Memungkinkan klien mendapatkan token baru atau berbeda, mungkin di lain waktu. |
| Token identitas | Server otorisasi ⭢ Klien | Memungkinkan klien mengidentifikasi pengguna yang berinteraksi dengan mereka. |
Token akses dan identitas adalah token pemilik. Token pemilik adalah class token umum yang memberikan akses kepada pihak yang memiliki token.
Penggunaan token pemilik untuk autentikasi bergantung pada keamanan yang disediakan oleh protokol terenkripsi, seperti HTTPS. Jika dicegat, token pemilik dapat digunakan oleh pihak tidak bertanggung jawab untuk mendapatkan akses.
Jika token pemilik tidak memberikan keamanan yang memadai untuk kasus penggunaan Anda, Anda dapat mengurangi risiko pencurian token dengan menggunakan akses yang sesuai konteks, membatasi masa aktif token akses, atau menggunakan solusi Transport Layer Security (mTLS) bersama seperti Chrome Enterprise Premium.
Token akses
Token akses memungkinkan klien melakukan panggilan yang diautentikasi ke API Cloud de Confiance by S3NS . Cloud de Confiance by S3NS mendukung beberapa jenis token akses yang berbeda, yang memiliki properti umum berikut:
Mereka mengautentikasi akun utama, yang dapat berupa pengguna atau workload.
Token ini dikeluarkan untuk satu klien tertentu.
Masa berlakunya singkat dan akan berakhir paling lama beberapa jam setelah dibuat.
Akses dibatasi untuk cakupan, endpoint, atau resource OAuth tertentu. Artinya, token akses biasanya tidak memberikan akses ke semua resource pengguna, tetapi hanya ke sebagian resource tertentu.
Token akses dapat berbeda dengan cara berikut:
Penerbit: Pihak yang menerbitkan token.
Principal: Jenis principal yang dapat diautentikasi oleh token.
Batasan: Batasan yang dapat diberlakukan pada token.
Tabel berikut mencantumkan berbagai jenis token akses:
| Jenis token | Penerbit | Akun utama | Pembatasan |
|---|---|---|---|
| Token akses akun layanan | Cloud de Confiance by S3NS Server otorisasi IAM | Akun layanan | Cakupan OAuth |
| Token Web JSON (JWT) akun layanan | Klien | Akun layanan | Cakupan OAuth atau API |
| Token akses gabungan | Cloud de Confiance by S3NS Server otorisasi IAM |
|
Cakupan OAuth |
| Token batas akses kredensial | Cloud de Confiance by S3NS Server otorisasi IAM |
|
Objek Cloud Storage tertentu |
| Token batas akses kredensial yang dikeluarkan klien | Klien | Akun layanan | Objek Cloud Storage tertentu |
Berbagai jenis token akses juga menunjukkan properti keamanan yang berbeda:
- Format: Beberapa token akses bersifat tersembunyi, yang berarti token tersebut berada dalam format kepemilikan dan tidak dapat diperiksa. Token lainnya dienkode sebagai Token Web JSON, yang dapat didekode oleh klien.
Masa berlaku: Token berbeda dalam masa berlaku dan sejauh mana token tersebut dapat diubah.
Dapat dicabut: Beberapa token dapat dicabut. Token lainnya tetap valid hingga masa berlakunya habis.
Tabel berikut merangkum perbedaan antara jenis token akses.
| Jenis token | Format | Dapat diintrospeksi | Selama ini | Dapat dibatalkan |
|---|---|---|---|---|
| Token akses akun layanan | Buram | Tidak | 5 menit–12 jam | Tidak |
| Token Web JSON (JWT) akun layanan | JWT | T/A | 5 menit–1 jam | Tidak |
| Token akses gabungan | Buram | Tidak | Lihat Token akses gabungan | Tidak |
| Token batas akses kredensial | Buram | Tidak | Lihat Token batas akses kredensial | Tidak |
| Token batas akses kredensial yang dikeluarkan klien | Buram | Tidak | T/A | Tidak |
Token akses akun layanan
Token akses akun layanan mengautentikasi akun layanan. Token bersifat opaque.
Untuk token akses akun layanan, API menampilkan output yang mirip dengan contoh berikut:
{
"azp": "000000000000000000000",
"aud": "000000000000000000000",
"scope": "https://www.googleapis.com/auth/userinfo.email",
"exp": "1744687132",
"expires_in": "3568",
"email": "service-account@example.s3ns.iam.gserviceaccount.com",
"email_verified": "true",
"access_type": "online"
}
Token akun layanan mencakup kolom berikut:
| Kolom | Nama | Deskripsi |
|---|---|---|
aud |
Audiens | Akun layanan yang ditujukan untuk token, setara dengan pihak yang berwenang. |
azp |
Pihak yang berwenang | Akun layanan yang meminta token, yang diidentifikasi oleh ID uniknya. |
email |
Alamat email utama |
Alamat email akun layanan.
Kolom ini hanya ada jika token menyertakan cakupan
|
exp |
Kedaluwarsa | Waktu habis masa berlaku token, dalam format waktu epoch Unix. |
Token akses akun layanan tidak dapat dicabut dan tetap valid hingga habis masa berlakunya.
Secara default, masa berlaku token akses akun layanan berakhir setelah satu jam. Dengan menggunakan metode
serviceAccounts.generateAccessToken, Anda dapat meminta token dengan masa aktif yang berbeda. Karena masa berlaku token yang lebih lama dapat meningkatkan risiko, Anda harus mengonfigurasi batasan iam.allowServiceAccountCredentialLifetimeExtension untuk mengizinkan klien meminta token akses akun layanan dengan masa berlaku lebih dari satu jam.
Token Web JSON akun layanan
Token Web JSON (JWT) akun layanan mengautentikasi akun layanan. Sementara token akses akun layanan dikeluarkan oleh server otorisasi, JWT akun layanan dapat dikeluarkan oleh klien itu sendiri.
JWT ini terkadang disebut JWT "yang ditandatangani sendiri". JWT ini dapat berguna saat Anda perlu melakukan autentikasi ke beberapa Google API tanpa mendapatkan token akses dari server otorisasi—misalnya, saat membuat library klien Anda sendiri.
Untuk menerbitkan JWT akun layanan, klien harus melakukan langkah-langkah berikut:
Siapkan payload tanda tangan web JSON yang mencakup alamat email akun layanan, cakupan OAuth atau endpoint API, dan waktu habis masa berlaku.
Tandatangani payload menggunakan kunci akun layanan dari akun layanan yang bersangkutan. Klien dapat menandatangani payload secara offline menggunakan kunci akun layanan yang dikelola pengguna, atau secara online menggunakan metode
signJwtdan kunci akun layanan yang dikelola Google. Untuk mengetahui informasi selengkapnya, lihat Membuat Token Web JSON yang ditandatangani sendiri
JWT akun layanan yang didekode akan terlihat seperti berikut, dengan
SIGNATURE diganti dengan tanda tangan token:
{
"alg": "RS256",
"kid": "290b7bf588eee0c35d02bf1164f4336229373300",
"typ": "JWT"
}.{
"iss": "service-account@example.s3ns.iam.gserviceaccount.com",
"sub": "service-account@example.s3ns.iam.gserviceaccount.com",
"scope": "https://www.googleapis.com/auth/cloud-platform",
"exp": 1744851267,
"iat": 1744850967
}.SIGNATURE
Daripada menentukan cakupan OAuth di kunci scope, JWT akun layanan
dapat menentukan endpoint API di kunci aud:
{
"alg": "RS256",
"kid": "290b7bf588eee0c35d02bf1164f4336229373300",
"typ": "JWT"
}.{
"iss": "service-account@example.s3ns.iam.gserviceaccount.com",
"sub": "service-account@example.s3ns.iam.gserviceaccount.com",
"aud": "https://cloudresourcemanager.googleapis.com/",
"exp": 1744854799,
"iat": 1744851199
}.SIGNATURE
JWT akun layanan mencakup kolom berikut:
| Kolom | Nama | Deskripsi |
|---|---|---|
aud |
Audiens |
Endpoint API yang diizinkan untuk diakses klien. Hanya valid jika
scope tidak ditentukan.
|
exp |
Kedaluwarsa | Waktu habis masa berlaku token, dalam format waktu epoch Unix. |
iat |
Waktu penerbitan | Waktu saat token diterbitkan, dalam format waktu epoch Unix. |
iss |
Penerbit | Penerbit token, yaitu akun layanan itu sendiri. |
scope |
Cakupan OAuth |
Kumpulan API yang diizinkan untuk diakses klien, yang diidentifikasi oleh
cakupan OAuth. Hanya valid jika aud tidak ditentukan.
|
sub |
Subjek | Akun utama yang diautentikasi, yaitu akun layanan itu sendiri. |
JWT akun layanan dapat berlaku hingga satu jam, dan tidak dapat dibatalkan.
Token akses gabungan
Token akses gabungan mengautentikasi pokok kumpulan tenaga kerja identitas atau pokok workload identity pool.
Workforce Identity Federation memungkinkan klien menukar token eksternal dengan token akses gabungan yang mengautentikasi pokok kumpulan tenaga kerja. Principal workforce identity pool diidentifikasi oleh ID principal yang mirip dengan berikut ini:
principal://iam.googleapis.com/locations/global/workforcePools/POOL/subject/raha@altostrat.com.
Workload Identity Federation memungkinkan klien menukarkan token eksternal dengan token akses gabungan yang mengautentikasi principal workload pool. Principal workload identity pool diidentifikasi oleh ID principal yang mirip dengan berikut ini:
principal://iam.googleapis.com/projects/PROJECT/locations/global/workloadIdentityPools/POOL/subject/SUBJECT_ATTRIBUTE_VALUE
Token akses gabungan bersifat tersembunyi dan tidak dapat diintrospeksi. Token tidak dapat dicabut dan tetap valid hingga habis masa berlakunya. Masa berlaku untuk setiap jenis token ditetapkan sebagai berikut:
Workforce Identity Federation menetapkan masa berlaku token ke nilai yang lebih kecil dari dua nilai berikut:
Waktu yang tersisa hingga sesi Workforce Identity Federation berakhir
1 jam
Masa berlaku sesi Workforce Identity Federation ditentukan berdasarkan waktu login dan durasi sesi yang dikonfigurasi untuk kumpulan Workforce Identity Federation.
Workload Identity Federation menetapkan masa berlaku token agar cocok dengan masa berlaku token eksternal.
Token batas akses kredensial
Token batas akses kredensial mengautentikasi pengguna atau akun layanan dan mencakup batas akses. Batas akses membatasi token sehingga hanya dapat digunakan untuk mengakses subset resource Cloud Storage yang ditentukan.
Token batas akses kredensial terkadang disebut sebagai diperkecil cakupannya karena berasal dari token input, tetapi lebih dibatasi dalam resource yang aksesnya diberikan.
Masa berlaku token batas akses kredensial berasal dari masa berlaku token input, yang berupa token akses akun layanan. Token batas akses kredensial bersifat tersembunyi dan tidak dapat diintrospeksi atau dicabut.
Token batas akses kredensial yang dikeluarkan klien
Token batas akses kredensial yang dikeluarkan klien mirip dengan token batas akses kredensial, tetapi dioptimalkan untuk skenario saat klien perlu mendapatkan token batas akses kredensial dengan batas akses yang berbeda pada frekuensi tinggi.
Klien dapat membuat token batas akses kredensial yang dikeluarkan klien secara lokal dengan menggunakan Library Klien Cloud dan token perantara batas akses, yang harus mereka perbarui secara berkala.
Token batas akses kredensial yang dikeluarkan klien bersifat tersembunyi dan tidak dapat diperiksa atau dicabut.
Token yang memberikan token
Token pemberi token memungkinkan klien mendapatkan token baru atau berbeda, mungkin di lain waktu. Cloud de Confiance by S3NS mendukung beberapa jenis token pemberi token, dan semuanya memiliki kesamaan berikut:
Token ini mewakili autentikasi sebelumnya.
Mereka mengautentikasi akun utama, yang dapat berupa identitas Google (pengguna atau beban kerja) atau identitas eksternal.
Kode ini dapat ditukarkan dengan token akses.
Token ini tidak dapat digunakan untuk melakukan panggilan Google API, yang membedakannya dari token akses.
Token pemberi token dapat berbeda dalam hal berikut:
Penerbit: Pihak yang menerbitkan token.
Principal: Jenis identitas principal yang dapat diautentikasi oleh token.
Batasan: Batasan yang dapat diberlakukan pada token.
Tabel berikut mencantumkan berbagai jenis token yang memberikan token.
| Jenis token | Penerbit | Jenis token akses yang ditukarkan | Akun utama | Pembatasan |
|---|---|---|---|---|
| Token refresh gabungan | Cloud de Confiance by S3NS Server otorisasi IAM | Token akses gabungan | Principal kumpulan identitas tenaga kerja | Cakupan OAuth |
| Kode otorisasi gabungan | Cloud de Confiance by S3NS Server otorisasi IAM | Token akses gabungan | Principal kumpulan identitas tenaga kerja | Cakupan OAuth |
| Token Web JSON Eksternal | Penyedia identitas eksternal | Token akses gabungan | Entity eksternal | Tidak ada |
| Respons atau pernyataan SAML eksternal | Penyedia identitas eksternal | Token akses gabungan | Entity eksternal | Tidak ada |
Token Amazon Web Services (AWS) GetCallerIdentity
|
Penyedia identitas eksternal | Token akses gabungan | Entity eksternal | Tidak ada |
Berbagai jenis token pemberi token juga menunjukkan properti keamanan yang berbeda:
Format: Beberapa token bersifat buram. Token lainnya dapat didekode oleh klien.
Masa berlaku: Token berbeda dalam masa berlaku, dan sejauh mana token tersebut dapat diubah.
Penggunaan beberapa kali: Beberapa token pemberi token hanya dapat digunakan satu kali. Token lain dapat digunakan beberapa kali.
Dapat dicabut: Beberapa token dapat dicabut. Token lainnya tetap valid hingga masa berlakunya habis.
Tabel berikut merangkum perbedaan antara properti ini untuk token yang memberikan token:
| Jenis token | Format | Selama ini | Dapat dibatalkan | Multiguna |
|---|---|---|---|---|
| Token refresh gabungan | Buram | Bervariasi, lihat Token refresh gabungan | Tidak | Ya |
| Kode otorisasi gabungan | Buram | 10 menit | Tidak | Tidak |
| Token eksternal atau Token Web JSON eksternal | JWT | Bergantung pada penyedia identitas | Bergantung pada penyedia identitas | Ya |
| Pernyataan atau respons SAML eksternal | SAML | Bergantung pada penyedia identitas | Bergantung pada penyedia identitas | Ya |
Token GetCallerIdentity Amazon Web Services (AWS) |
Blob teks | Bergantung pada penyedia identitas | Bergantung pada penyedia identitas | Ya |
Token refresh gabungan
Token refresh gabungan adalah token buram yang memungkinkan klien mendapatkan token akses untuk pokok kumpulan identitas tenaga kerja, jika pengguna sebelumnya mengizinkan klien untuk bertindak atas nama mereka.
Seperti token refresh, token refresh gabungan terikat ke klien tertentu dan hanya dapat digunakan bersama dengan kredensial klien yang valid; misalnya, client ID dan rahasia klien.
Tidak seperti token refresh, token refresh gabungan tidak dapat dicabut. Masa aktif token refresh gabungan ditautkan ke sesi identitas tenaga kerja yang digunakan untuk mendapatkan token dan token tersebut tetap valid hingga sesi berakhir.
Kode otorisasi gabungan
Seperti kode otorisasi, kode otorisasi gabungan adalah token buram yang memiliki masa aktif singkat. Kode hanya ditujukan untuk digunakan selama autentikasi pengguna sebagai perantara antara klien dan server otorisasi IAM Cloud de Confiance by S3NS .
Kode otorisasi terikat ke klien, hanya dapat digunakan bersama dengan kredensial klien yang valid, dan hanya dapat digunakan satu kali.
Token Web JSON eksternal
Token Web JSON (JWT) eksternal dikeluarkan oleh penyedia identitas eksternal seperti Microsoft Entra ID, Okta, Kubernetes, atau GitHub. Struktur dan kontennya mungkin berbeda.
Dengan mengonfigurasi Workforce Identity Federation atau Workload Identity Federation, Anda dapat menyiapkan hubungan tepercaya antara Cloud de Confiance by S3NS dan penyedia identitas eksternal. Workload kemudian dapat menggunakan JWT eksternal sebagai token pemberi token untuk mendapatkan token akses gabungan.
Saat Anda menggunakan Workforce Identity Federation, token akses gabungan yang dihasilkan akan mengautentikasi prinsipal kumpulan identitas tenaga kerja.
Saat Anda menggunakan Workload Identity Federation, token akses gabungan yang dihasilkan mengautentikasi prinsipal kumpulan identitas workload.
Dalam kedua kasus tersebut, ID utama berasal dari satu atau beberapa klaim JWT eksternal.
Agar kompatibel dengan Workforce Identity Federation atau Workload Identity Federation, JWT eksternal harus memenuhi persyaratan tertentu.
Pernyataan atau respons SAML eksternal
Pernyataan Security Assertion Markup Language (SAML) eksternal adalah pernyataan SAML 2.0 yang dikeluarkan oleh penyedia identitas eksternal seperti Microsoft Entra ID, Okta, atau Active Directory Federation Services. Pernyataan SAML eksternal ini dapat disertakan secara opsional dalam respons SAML 2.0 atau dienkripsi.
Seperti Token Web JSON eksternal, Anda dapat mengonfigurasi Workforce Identity Federation atau Workload Identity Federation sehingga beban kerja dapat menggunakan pernyataan atau respons SAML eksternal sebagai token pemberi token untuk mendapatkan token akses gabungan.
Agar kompatibel dengan Workforce Identity Federation atau Workload Identity Federation, pernyataan SAML eksternal harus memenuhi persyaratan tertentu.
Token GetCallerIdentity Amazon Web Services (AWS)
Token GetCallerIdentity AWS eksternal adalah blob teks yang berisi permintaan yang ditandatangani ke AWS
GetCallerIdentity API.
Mirip dengan JSON Web Token eksternal, Anda dapat mengonfigurasi Workforce Identity Federation atau Workload Identity Federation sehingga
beban kerja dapat menggunakan blob teks ini sebagai token pemberi token untuk mendapatkan
token akses gabungan.
Token identitas
Token identitas (ID) memungkinkan klien mengidentifikasi pengguna yang berinteraksi dengan mereka. Cloud de Confiance by S3NS mendukung beberapa jenis token identitas yang berbeda, dan semuanya memiliki kesamaan berikut:
Token ini diformat sebagai Token Web JSON (JWT) sehingga dapat didekode, diverifikasi, dan ditafsirkan oleh klien.
Mereka mengautentikasi akun utama, yang dapat berupa pengguna atau workload.
Token ini dikeluarkan untuk satu klien tertentu.
Masa berlakunya singkat dan akan berakhir paling lama setelah satu jam.
Tidak dapat dibatalkan.
Token ini tidak dapat digunakan untuk melakukan panggilan Google API, yang membedakannya dari token akses.
Token ini tidak dapat digunakan untuk mendapatkan token akses, yang membedakannya dari token pemberi token.
Token ini dapat digunakan untuk mengautentikasi panggilan antar-microservice, atau untuk melakukan autentikasi secara terprogram ke Identity-Aware Proxy (IAP).
Token identitas dapat berbeda dalam hal berikut:
Audiens: Pihak yang dimaksudkan untuk mendekode dan menggunakan token.
Penerbit: Pihak yang menerbitkan token.
Masa berlaku: Token berbeda dalam masa berlaku, dan sejauh mana token tersebut dapat dimodifikasi.
Principal: Jenis identitas principal yang dapat diautentikasi oleh token.
Tabel berikut mencantumkan berbagai jenis token identitas.
| Jenis token | Penerbit | Audiens | Akun utama | Selama ini |
|---|---|---|---|---|
| Token ID akun layanan | Cloud de Confiance by S3NS Server otorisasi IAM | Bebas memilih audiens mana pun | Akun layanan | 1 jam |
| Pernyataan Identity-Aware Proxy (IAP) | IAP |
|
|
10 menit |
Token ID akun layanan
Token ID akun layanan adalah Token Web JSON (JWT) yang mengautentikasi akun layanan.
Tidak seperti JWT akun layanan dan pernyataan JWT akun layanan, token ID akun layanan tidak ditandatangani oleh kunci akun layanan. Sebagai gantinya, token ID akun layanan ditandatangani oleh Set Kunci Web JSON (JWKS) Google.
Token ID akun layanan yang didekode akan terlihat seperti berikut, dengan
SIGNATURE diganti dengan tanda tangan token:
{
"alg": "RS256",
"kid": "c37da75c9fbe18c2ce9125b9aa1f300dcb31e8d9",
"typ": "JWT"
}.{
"aud": "example-audience",
"azp": "112010400000000710080",
"email": "service-account@example.s3ns.iam.gserviceaccount.com",
"email_verified": true,
"exp": 1745365618,
"iat": 1745362018,
"iss": "https://accounts.google.com",
"sub": "112010400000000710080"
}.SIGNATURE
Token ID akun layanan mencakup kolom berikut:
| Kolom | Nama | Deskripsi |
|---|---|---|
aud |
Audiens | ID pihak yang dituju oleh token ini. Nilai dapat dipilih secara bebas oleh pemohon token. |
azp |
Pihak yang berwenang | Akun layanan yang meminta token, yang diidentifikasi oleh ID uniknya. |
exp |
Kedaluwarsa | Waktu habis masa berlaku token, dalam format waktu epoch Unix. |
iss |
Penerbit |
Penerbit token, selalu ditetapkan ke
https://accounts.google.com.
|
sub |
Subjek | Akun layanan yang meminta token, yang diidentifikasi oleh ID uniknya. |
Kumpulan klaim persis yang disertakan dalam token ID bergantung pada cara token ID diminta. Misalnya, token ID yang diminta oleh server metadata Compute Engine dapat secara opsional menyertakan klaim tambahan yang mengonfirmasi identitas VM. Token ID yang diminta menggunakan IAM Credentials API dapat secara opsional berisi ID organisasi project akun layanan.
Token ID akun layanan valid selama satu jam, dan tidak dapat dibatalkan.
Pernyataan Identity-Aware Proxy
Pernyataan Identity-Aware Proxy (IAP) adalah Token Web JSON (JWT) yang diteruskan IAP ke aplikasi web yang dilindungi IAP di header permintaan HTTP x-goog-iap-jwt-assertion. Pernyataan IAP mengautentikasi pengguna dan juga
berfungsi sebagai bukti bahwa permintaan telah diizinkan oleh IAP.
Akun pengguna terkelola
Akun konsumen
Akun layanan
Principal kumpulan identitas tenaga kerja
Pernyataan IAP yang didekode terlihat mirip dengan berikut, dengan
SIGNATURE diganti dengan tanda tangan token:
{
"alg": "ES256",
"typ": "JWT",
"kid": "4BCyVw"
}.{
"aud": "/projects/0000000000/global/backendServices/000000000000",
"azp": "/projects/0000000000/global/backendServices/000000000000",
"email": "user@example.com",
"exp": 1745374290,
"google": {
"access_levels": [
"accessPolicies/0000000000/accessLevels/Australia"
]
},
"iat": 1745373690,
"identity_source": "WORKFORCE_IDENTITY",
"iss": "https://cloud.google.com/iap",
"sub": "sts.google.com:AAFTZ...Q",
"workforce_identity": {
"iam_principal": "principal://iam.googleapis.com/locations/global/workforcePools/example/subject/user-0000000000",
"workforce_pool_name": "locations/global/workforcePools/example"
}
}.SIGNATURE
Pernyataan IAP mencakup kolom berikut:
| Kolom | Nama | Deskripsi |
|---|---|---|
aud |
Audiens | Layanan backend, aplikasi App Engine, atau layanan Cloud Run yang ditujukan untuk pernyataan IAP. |
iss |
Penerbit |
Penerbit token, selalu ditetapkan ke
https://cloud.google.com/iap
|
sub |
Subjek |
Principal yang diautentikasi, yang diidentifikasi berdasarkan ID uniknya. Jika IAP dikonfigurasi untuk menggunakan identitas Google, ID ini setara dengan ID yang ditampilkan di Directory API. |
Untuk mengetahui detail lebih lanjut tentang klaim pernyataan IAP, lihat Memverifikasi payload JWT.
Pernyataan IAP berlaku selama 10 menit, dan tidak dapat dibatalkan.