Z tego dokumentu dowiesz się, jak wystawiać tokeny sieciowe JSON w ramach włączania Twojej sieci i aplikacji mobilnych dostępu do danych floty. Jeśli nie zostało to zrobione przeczytaj już artykuł Tokeny sieciowe JSON w sekcji Bezpieczeństwo w Fleet Engine. . Dzięki usłudze Fleet Engine możesz wystawiać tokeny JWT w jednej z w następujący sposób:
- Użyj biblioteki autoryzacji – Google zaleca zastosowanie tej metody. gdy baza kodu jest napisana w języku Java. Ta biblioteka obsługuje wystawianie tokenów JWT do wszystkich zastosowań usługi i warto upraszcza implementację.
- Utwórz własne tokeny JWT – jeśli nie możesz użyć naszej biblioteki JWT, konieczne będzie: w Twojej bazie kodu. W tej sekcji znajdziesz różne przykładowe tokeny JWT w każdym scenariuszu.
Jak działają tokeny JWT
W niezaufanych środowiskach, takich jak telefony komórkowe i przeglądarki, backend serwer wysyła tokeny JWT, które działają w ten sposób:
Kod klienta działający w niezaufanym środowisku wywołuje na serwerze działający w w pełni zaufanym środowisku, który żąda odpowiedniego tokena JWT do Fleet Engine.
Tokeny JWT są powiązane z kontami usługi, więc żądania wysyłane do Fleet Engine są domyślnie powiązane z kontem usługi, które podpisało token JWT.
Deklaracje JWT jeszcze bardziej ograniczają zasoby, na których może działać klient, m.in. konkretnych pojazdów, podróży i zadań.
Używanie biblioteki autoryzacji dla języka Java
Aby użyć biblioteki autoryzacji Fleet Engine dla języka Java, odwiedź GitHub . Biblioteka upraszcza tworzenie Fleet Engine i bezpiecznie je podpisywać. Oto co zawiera:
- Deklaracje zależności projektu
- Pełną listę wszystkich ról konta usługi dotyczących podróży na żądanie lub zaplanowane zadania
- mechanizmy podpisywania tokenów inne niż korzystające z plików danych logowania, np. podszywanie się pod konto usługi
- Dołącza podpisane tokeny do żądań wychodzących wysyłanych z atrapy gRPC lub bibliotekę klienta Google API Codegen (GAPIC)
- Instrukcje integracji osób podpisujących z bibliotekami klienta Fleet Engine
Jeśli wystawiasz tokeny JWT z kodu
Jeśli nie możesz użyć biblioteki autoryzacji dla języka Java, musisz wdrożyć tokeny JWT w z Twoją własną bazą kodu. Ta sekcja zawiera kilka wytycznych dotyczących tworzenia własnych tokeny. Zobacz Tokeny sieciowe JSON w sekcji Zabezpieczenia we Fleet Engine. . Zobacz konto usługi role dla ról konta usługi używanych przez Fleet Engine. Zobacz poniżej znajdziesz listę przykładów JWT dla podróży na żądanie lub zaplanowane zadania.
Ogólne wskazówki
- Używanie odpowiednich kont usługi i ról konto usługi oraz
powiązana rola gwarantuje, że użytkownik żądający tokena jest upoważniony
wyświetlać informacje, do których token zapewnia dostęp. Więcej szczegółów:
- Jeśli podpisujesz token JWT, który ma być przekazywany na urządzenie mobilne, użyj usługi. dla roli Driver lub Consumer SDK. W przeciwnym razie funkcja urządzenie może modyfikować dane i uzyskiwać do nich dostęp.
- Jeśli podpisujesz token JWT, aby używać go do wywołań z odpowiednimi uprawnieniami, używaj konta usługi z odpowiednią rolą administratora Fleet Engine, gdy korzystasz z ADC lub tokenów JWT. W przeciwnym razie operacja się nie powiedzie.
- Udostępniaj tylko utworzone tokeny. Nigdy nie udostępniaj danych logowania użytych do i utwórz tokeny.
- W przypadku wywołań gRPC mechanizm dołączania tokena zależy od
i języka używanego do nawiązania połączenia. Mechanizm określania
tokenem do wywołania HTTP jest dołączenie nagłówka
Authorizationz elementem okaziciela , którego wartość jest tokenem. - Zwraca czas ważności. Serwer musi zwrócić datę ważności pliku token, zwykle w ciągu kilku sekund.
- Jeśli musisz utworzyć i podpisać plik JSON bezpośrednio jako nośnik tokenów, niż użycie tokenów dostępu OAuth 2.0, zapoznaj się z instrukcjami dla usługi autoryzacja konta bez protokołu OAuth w Tożsamości Dokumentacja dla deweloperów.
W przypadku podróży na żądanie
- Podczas tworzenia ładunku JWT dodaj dodatkową deklarację w autoryzacji
sekcji z kluczem
vehicleidlubtripidustawionym na wartość pojazdu Identyfikator lub identyfikator podróży, którego dotyczy połączenie.
Zaplanowane zadania
- Gdy serwer wywołuje inne interfejsy API, tokeny muszą też zawierać
odpowiednie roszczenie. W tym celu możesz wykonać te czynności:
- Ustaw wartość każdego klucza na
*. - Przyznaj użytkownikowi dostęp do wszystkich elementów
taskidsideliveryvehicleids. Do zrobienia należy dodać kolejne roszczenie w sekcji autoryzacji z klawiszetaskidideliveryvehicleid. - Gdy używasz gwiazdki (
*) w twierdzeniutaskids, musi to być jedyny element tablicy.
- Ustaw wartość każdego klucza na
Przykłady tokenów JWT dla podróży na żądanie
W tej sekcji znajdziesz przykłady tokenów JWT przeznaczonych do typowych scenariuszy, gdy używasz ich na żądanie. podróży.
Przykładowy token operacji w aplikacji sterownika
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_driver_service_account"
}
.
{
"iss": "driver@yourgcpproject.iam.gserviceaccount.com",
"sub": "driver@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"vehicleid": "driver_12345"
}
}
Przykładowy token operacji w aplikacji dla konsumentów
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_consumer_service_account"
}
.
{
"iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
"sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"tripid": "trip_54321"
}
}
Przykłady tokenów JWT dla zaplanowanych zadań
W tej sekcji znajdziesz przykładowy token JWT w typowych scenariuszach, w których używasz zaplanowanego zadania.
Przykładowy token aplikacji kierowcy
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_delivery_driver_service_account"
}
.
{
"iss": "driver@yourgcpproject.iam.gserviceaccount.com",
"sub": "driver@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"deliveryvehicleid": "driver_12345"
}
}
Przykładowy token aplikacji konsumenta
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_delivery_consumer_service_account"
}
.
{
"iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
"sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"trackingid": "shipment_12345"
}
}
Przykłady tokenów JWT w operacjach floty
W tej sekcji znajdziesz przykład tokena JWT używany w typowym scenariuszu operacji na flocie.
Przykładowy token do śledzenia wszystkich zadań i pojazdów we flocie
Poniższy przykład to token, który śledzi wszystkie zadania i pojazdy w z aplikacji internetowej używanej przez operatora. Wymagane uprawnienia dla tych operacji jest większy niż w przypadku aplikacji klienckich. Zobacz Skonfiguruj bibliotekę JavaScriptu do śledzenia floty po stronie klienta wdrożenie, które użyje tego tokena:
Podpisywanie tokena za pomocą Cloud IAM
Fleet Engine Delivery Fleet Readerrolę użytkownika.
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_consumer_service_account"
}
.
{
"iss": "superuser@yourgcpproject.iam.gserviceaccount.com",
"sub": "superuser@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"scope": "https://www.googleapis.com/auth/xapi",
"authorization": {
"taskid": "*",
"deliveryvehicleid": "*",
}
}
Alternatywna metoda uwierzytelniania operacji serwera backendu
Google zaleca używanie ADC do uwierzytelniania operacji serwera backendu. Jeśli Nie możesz używać ADC i musisz używać tokenów JWT – zapoznaj się z tymi przykładami.
Przykładowy token operacji serwera backendu na żądanie
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_provider_service_account"
}
{
"iss": "provider@yourgcpproject.iam.gserviceaccount.com",
"sub": "provider@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"vehicleid": "*",
"tripid": "*"
}
}
Przykładowy token zaplanowanej operacji serwera backendu
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_provider_service_account"
}
.
{
"iss": "provider@yourgcpproject.iam.gserviceaccount.com",
"sub": "provider@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"taskid": "*"
}
}
Przykładowy token zaplanowanej operacji tworzenia zadań wsadowych na serwerze backendu
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_provider_service_account"
}
.
{
"iss": "provider@yourgcpproject.iam.gserviceaccount.com",
"sub": "provider@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"taskids": ["*"]
}
}
Przykładowy token operacji zaplanowanego serwera backendu dla konkretnego dostawy pojazdu
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_provider_service_account"
}
.
{
"iss": "provider@yourgcpproject.iam.gserviceaccount.com",
"sub": "provider@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"deliveryvehicleid": "*"
}
}
Co dalej?
- Zweryfikuj konfigurację, aby utworzyć pojazd próbny i upewnić się, że tokeny działają zgodnie z oczekiwaniami.
- Jeśli chcesz dowiedzieć się więcej o użyciu ADC zamiast JWT do operacji na serwerze backendu, Więcej informacji znajdziesz w artykule Omówienie zabezpieczeń.