在 Google Cloud 上使用 ARCore API

无钥匙

如需使用无密钥身份验证授权您的应用，请创建 OAuth 2.0 客户端 ID。

确定签名密钥指纹

OAuth 2.0 客户端 ID 使用应用的签名密钥指纹来标识应用。

keytool -list -v -alias androiddebugkey -keystore ~/.android/debug.keystore

keytool -list -v -alias androiddebugkey -keystore %USERPROFILE%\.android\debug.keystore

   Certificate fingerprint: SHA1: <strong>DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09

keytool -list -v -alias your-key-name -keystore path-to-production-keystore

   Certificate fingerprint: SHA1: DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09

创建 OAuth 2.0 客户端 ID

针对上一步中的每个适用的签名密钥，在 Google Cloud 项目的凭据中创建一个 OAuth 2.0 客户端 ID。

• 在 Google Cloud 中，打开“凭据”页面。

  凭据

• 点击创建凭据，然后从菜单中选择 OAuth 客户端 ID。

• 按如下方式填写必填字段：

  • 应用类型：选择 Android。
  • 软件包名称：使用 AndroidManifest.xml 中声明的软件包名称。
  • SHA-1 证书指纹：使用在之前的步骤中获得的指纹。

• 按创建。

包含必需的库

1. 在应用的依赖项中添加 com.google.android.gms:play-services-auth:16+。

2. 如果您使用代码缩减，请将其添加到应用的 build.gradle 文件中：

   buildTypes {
     release {
       ...
       proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
     }
   }
   

3. 将以下内容添加到应用的 proguard-rules.pro 文件中：

   -keep class com.google.android.gms.common.** { *; }
   -keep class com.google.android.gms.location.** { *; }
   -keep class com.google.android.gms.auth.** { *; }
   -keep class com.google.android.gms.tasks.** { *; }
   

您的应用现已配置为使用无密钥身份验证。

无钥匙

ARCore 支持使用 JSON Web 令牌在 iOS 中授权 API 调用。令牌必须由 Google 服务账号签署。

如需为 iOS 生成令牌，您必须在服务器上设置一个满足以下要求的端点：

• 您自己的授权机制必须保护端点。

• 端点必须每次都生成一个新令牌，以满足以下条件：

  • 每个用户都会获得一个唯一的令牌。
  • 令牌不会立即过期。

创建服务账号和签名密钥

请按照以下步骤创建 Google 服务账号和签名密钥：

1. 在 Google Cloud 中，打开“凭据”页面。
   凭据
2. 点击创建凭据 > 服务账号。
3. 在服务账号详情下，为新账号输入名称，然后点击创建。
4. 在“服务账号权限”页面上，前往选择角色下拉菜单。 依次选择服务账号 > Service Account Token Creator，然后点击“继续”。
5. 在向用户授予访问此服务账号的权限页面上，点击“完成”。
6. 在凭据页面上，找到“服务账号”部分，然后点击您刚创建的账号的名称。
7. 在服务账号详情页面上，向下滚动到“密钥”部分，然后选择添加密钥 > 创建新密钥。

8. 选择 JSON 作为密钥类型，然后点击创建。

   这会将包含私钥的 JSON 文件下载到您的计算机。将下载的 JSON 密钥文件存储在安全的位置。

在服务器上创建令牌

如需在服务器上创建新令牌 (JWT)，请使用标准 JWT 库和您从新服务账号安全下载的 JSON 文件。

在开发机器上创建令牌

如需在开发机器上生成 JWT，请使用以下 oauth2l 命令：

oauth2l fetch --cache "" --jwt --json $KEYFILE --audience "https://arcore.googleapis.com/"

必须使用 --cache 标志指定一个空的缓存位置，以确保每次都生成不同的令牌。请务必剪裁生成的字符串。多余的空格或换行符会导致 API 拒绝令牌。

对令牌进行签名

您必须使用 RS256 算法和以下声明来签署 JWT：

• iss - 服务账号的电子邮件地址。
• sub - 服务账号的电子邮件地址。
• iat - 令牌生成时的 Unix 纪元时间（以秒为单位）。
• exp - iat + 3600（1 小时）。令牌到期时的 Unix 纪元时间（以秒为单位）。
• aud - 受众群体。必须设置为 https://arcore.googleapis.com/。

JWT 载荷中不需要包含非标准声明，但您可能会发现 uid 声明有助于识别相应用户。

如果您使用其他方法（例如在 Google 管理的环境中使用 Google API）生成 JWT，请务必使用本部分中的声明对 JWT 进行签名。最重要的是，确保受众群体正确无误。

在 ARCore 会话中传递令牌

1. 确保 iOS 身份验证策略设置为 AuthenticationToken。在 Unity 中，依次前往 Edit > Project Settings > XR Plug-in Management > ARCore Extensions。在 iOS 身份验证策略下拉菜单中，选择身份验证令牌选项。

2. 获取令牌后，使用 ARAnchorManager.SetAuthToken() 将其传递到 ARCore 会话中：

   // Designate the token to authorize ARCore API calls
   // on the iOS platform. This should be called each time the application's token is refreshed.
   ARAnchorManager.SetAuthToken(authToken);
   

您的应用现已配置为使用无密钥身份验证。

将令牌传递到会话中时，请注意以下事项：

• 如果您已使用 API 密钥创建会话，ARCore 将忽略令牌并记录错误。

  如果您不再需要该 API 密钥，请在 Google Developers Console中将其删除，并从您的应用中移除该密钥。

• ARCore 会忽略包含空格或特殊字符的令牌。

• 令牌通常会在 1 小时后过期。如果您的令牌在使用过程中可能会过期，请获取新令牌并将其传递给 API。

API 密钥

1. 在 Google Cloud 中，打开“凭据”页面。
   凭据
2. 选择创建凭据，然后从菜单中选择 API 密钥。
   “已创建的 API 密钥”对话框会显示新创建的密钥的字符串。

3. 在 Unity 中，依次前往 Edit > Project Settings > XR Plug-in Management > ARCore Extensions。对于每个目标平台（Android、iOS），在其身份验证策略下拉菜单中，选择 API 密钥选项。然后，在 API 密钥字段中插入您的 API 密钥。

4. 请查看有关 API 密钥限制的文档，以保护您的 API 密钥。

您的应用现已配置为使用 API 密钥。