ממשק API שלChallenge.verify
בקשת HTTP
POST https://verifiedaccess.googleapis.com/v1/challenge:verify
בכתובת ה-URL נעשה שימוש בתחביר המרת קידוד של gRPC.
גוף הבקשה
גוף הבקשה מכיל נתונים במבנה הבא:
ייצוג JSON |
---|
{
"challengeResponse": {
object ( |
שדות | |
---|---|
challengeResponse |
התגובה שנוצרה לאתגר |
expectedIdentity |
השירות יכול לספק פרטי זהות לגבי המכשיר או המשתמש המשויכים למפתח. עבור EMK, הערך הזה הוא הדומיין הרשום. ל-EUK, הערך הזה הוא כתובת האימייל של המשתמש. אם הוא קיים, המערכת תבדוק את הערך הזה מול תוכן התשובה, והאימות ייכשל אם לא תהיה התאמה. |
גוף התשובה
הודעת התוצאה של VerifiedAccess.VerifyChallengeResponse.
אם הפעולה בוצעה ללא שגיאות, גוף התשובה מכיל נתונים במבנה הבא:
ייצוג JSON |
---|
{ "verificationOutput": string, "devicePermanentId": string, "signedPublicKeyAndChallenge": string, "deviceEnrollmentId": string, "attestedDeviceId": string } |
שדות | |
---|---|
verificationOutput |
לצורך בדיקת EMCert, המזהה הקבוע של המכשיר מוחזר כאן. לבדיקה של EUCert, מוחזרת SignPublicKeyAndChallenge [base64 מקודד] אם קיימת. אחרת, מוחזרת מחרוזת ריקה. השדה הזה הוצא משימוש. יש להשתמש בשדות devicePermanentId או linkedPublicKeyAndChallenge. |
devicePermanentId |
המזהה הקבוע של המכשיר מוחזר בשדה הזה (לתגובת המכונה בלבד). |
signedPublicKeyAndChallenge |
בשדה הזה מוחזרת בקשה לחתימה על אישור (בפורמט SPKAC, בקידוד base64). השדה הזה יוגדר רק אם המכשיר כלל CSR בתגובתו לאתגר. (האפשרות לכלול CSR זמינה עכשיו גם לתשובות של משתמשים וגם לתשובות של מכונה) |
deviceEnrollmentId |
מזהה הרישום של המכשיר מוחזר בשדה הזה (לתגובת המכונה בלבד). |
attestedDeviceId |
מזהה המכשיר המאומת (ADID) של המכשיר, קריאה מהנתונים המאומתים. |
היקפי הרשאות
נדרש היקף ההרשאות הבא של OAuth:
https://www.googleapis.com/auth/verifiedaccess
מידע נוסף זמין בסקירה הכללית על אימות.