Bu dokümanda, web ve mobil tabanlı uygulamalarınızın Fleet Engine verilerine erişmesine olanak tanımak için JSON Web jetonlarının nasıl yayınlanacağı açıklanmaktadır. Henüz yapmadıysanız Fleet Engine'da Güvenlik bölümündeki JSON Web Jetonları bölümünü okuyun. Fleet Engine hizmetiyle aşağıdaki yöntemlerden biriyle JWT yayınlayabilirsiniz:
- Yetkilendirme kitaplığını kullanma: Google, kod tabanınız Java'da yazıldığında bu yaklaşımı kullanmanızı önerir. Bu kitaplık, hizmette ihtiyaç duyabileceğiniz tüm kullanım alanı senaryoları için JWT'leri yayınlar ve uygulamanızı büyük ölçüde basitleştirir.
- Kendi JWT'lerinizi oluşturun: JWT kitaplığımızı kullanamıyorsanız bunları kendi kod tabanınıza eklemeniz gerekir. Bu bölümde, her senaryo için JWT'lerin çeşitli örnekleri verilmiştir.
JWT'lerin işleyiş şekli
Cep telefonları ve web tarayıcıları gibi güvenilmeyen ortamlar için arka uç sunucunuz, aşağıdaki gibi çalışan JWT'ler yayınlar:
Düşük güven ortamında çalışan istemci kodunuz, Fleet Engine'e iletilecek uygun JWT'yi istemek için tamamen güvenilir bir ortamda çalışan sunucu kodunuzu çağırır.
JWT'ler hizmet hesaplarıyla ilişkilendirilir. Bu nedenle, Fleet Engine'a gönderilen istekler, JWT'yi imzalayan hizmet hesabıyla dolaylı olarak ilişkilendirilir.
JWT, istemcinin çalışabileceği kaynakları (ör. belirli araçlar, geziler veya görevler) daha da kısıtladığını iddia ediyor.
Java için yetkilendirme kitaplığını kullanma
Java için Fleet Engine yetkilendirme kitaplığını kullanmak istiyorsanız GitHub deposunu ziyaret edin. Kitaplık, Fleet Engine JWT'lerinin oluşturulmasını basitleştirir ve bunları güvenli bir şekilde imzalar. Aşağıdakileri sağlar:
- Proje bağımlılık beyanları
- İsteğe bağlı seyahatler veya planlanmış görevler için tüm hizmet hesabı rollerinin tam listesi
- Bir hizmet hesabının kimliğine bürünme gibi kimlik bilgisi dosyalarını kullanmak dışındaki jeton imzalama mekanizmaları
- İmzalı jetonları, gRPC stub'ından veya Google API Codegen (GAPIC) istemci kitaplığından yapılan giden isteklere ekler.
- İmzalayanları Fleet Engine istemci kitaplıklarıyla entegre etme talimatları
Kodunuzdan JWT'ler gönderiyorsanız
Java için yetkilendirme kitaplığını kullanamıyorsanız JWT'leri kendi kod tabanınıza uygulamanız gerekir. Bu bölümde, kendi jetonlarınızı oluşturmayla ilgili birkaç yönerge verilmiştir. JWT alanlarının ve iddialarının listesi için Fleet Engine'da Güvenlik bölümündeki JSON Web Jetonları'na bakın. Fleet Engine tarafından kullanılan hizmet hesabı rolleri için Hizmet hesabı rolleri bölümüne bakın. İsteğe bağlı geziler veya planlanmış görevlerle ilgili JWT örneklerinin listesi için aşağıdaki bölüme bakın.
Genel yönergeler
- Uygun hizmet hesaplarını ve rolleri kullanın. Hizmet hesabı ve ilişkili rol, jetonu isteyen kullanıcının, jetonun kendisine erişim izni verdiği bilgileri görüntüleme yetkisi olmasını sağlar. Ayrıntılı olarak:
- Bir JWT'yi mobil cihaza iletilecek şekilde imzalıyorsanız Sürücü veya Tüketici SDK rolü için hizmet hesabını kullanın. Aksi takdirde, mobil cihaz, erişemeyeceği verileri değiştirebilir ve bunlara erişebilir.
- Ayrıcalıklı çağrılarda kullanılacak JWT'yi imzalıyorsanız ADC veya JWT'leri kullanırken hizmet hesabını doğru Fleet Engine Yöneticisi rolüne sahip olarak kullanın. Aksi takdirde işlem başarısız olur.
- Yalnızca oluşturulan jetonları paylaşın. Jetonları oluşturmak için kullanılan kimlik bilgilerini hiçbir zaman paylaşmayın.
- gRPC çağrılarında jeton ekleme mekanizması, çağrıyı yapmak için kullanılan dile ve çerçeveye bağlıdır. HTTP çağrısına jeton belirtme mekanizması, değeri jeton olan bir hamiline sahip jetona sahip
Authorizationbaşlığı eklemektir. - Geçerlilik bitiş zamanı döndürür. Sunucunuzun, jeton için genellikle saniye cinsinden bir geçerlilik bitiş zamanı döndürmesi gerekir.
- OAuth 2.0 erişim jetonlarını kullanmak yerine doğrudan jeton taşıyıcı olarak JSON oluşturmanız ve imzalamanız gerekiyorsa Identity Developer dokümanlarında OAuth olmadan hizmet hesabı yetkilendirme ile ilgili talimatları okuyun.
İsteğe bağlı geziler için
- JWT yükünü oluştururken, yetkilendirme bölümünde
vehicleidveyatripidanahtarının, çağrının yapıldığı araç kimliğinin veya gezi kimliğinin değerine ayarlanmış olduğu ek bir talep ekleyin.
Planlanmış görevler için
- Sunucunuz diğer API'leri çağırdığında jetonlar da uygun hak talebini içermelidir. Bunun için aşağıdakileri yapabilirsiniz:
- Her anahtarın değerini
*olarak ayarlayın. - Kullanıcıya tüm
taskidsvedeliveryvehicleids'lere erişim izni verin. Bunu yapmak için yetkilendirme bölümünetaskidvedeliveryvehicleidanahtarlarını içeren ek bir hak talebi eklersiniz. taskidstalebindeki yıldız işareti (*) dizideki tek öğe olmalıdır.
- Her anahtarın değerini
Talep üzerine seyahatler için JWT örnekleri
Bu bölümde, isteğe bağlı gezileri kullanıyorsanız sık karşılaşılan senaryolar için JWT örnekleri verilmiştir.
Sürücü uygulaması işlemi için örnek jeton
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_driver_service_account"
}
.
{
"iss": "driver@yourgcpproject.iam.gserviceaccount.com",
"sub": "driver@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"vehicleid": "driver_12345"
}
}
Bir tüketici uygulaması işlemi için örnek jeton
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_consumer_service_account"
}
.
{
"iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
"sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"tripid": "trip_54321"
}
}
Planlanmış görevler için JWT örnekleri
Bu bölümde, planlanmış görevler kullanıyorsanız tipik senaryolar için JWT örneği verilmiştir.
Sürücü uygulaması için örnek jeton
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_delivery_driver_service_account"
}
.
{
"iss": "driver@yourgcpproject.iam.gserviceaccount.com",
"sub": "driver@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"deliveryvehicleid": "driver_12345"
}
}
Tüketici uygulaması için örnek jeton
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_delivery_consumer_service_account"
}
.
{
"iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
"sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"authorization": {
"trackingid": "shipment_12345"
}
}
Filo işlemleri için JWT örnekleri
Bu bölümde, filo operasyonlarındaki tipik bir senaryo için JWT örneği verilmiştir.
Bir filodaki tüm görevleri ve araçları izlemek için örnek jeton
Aşağıdaki örnek, bir operatör tarafından kullanılan web tabanlı bir uygulamadan filodaki tüm görevleri ve araçları izleyen bir jetondur. Bu işlemler için gereken izinler istemci uygulamalarından daha fazladır. Bu jetonu kullanacak istemci tarafı uygulaması için JavaScript Filo İzleme Kitaplığı'nı ayarlama bölümüne bakın:
Fleet Engine Delivery Fleet ReaderCloud IAM rolünü kullanarak jetonu imzalayın.
{
"alg": "RS256",
"typ": "JWT",
"kid": "private_key_id_of_consumer_service_account"
}
.
{
"iss": "superuser@yourgcpproject.iam.gserviceaccount.com",
"sub": "superuser@yourgcpproject.iam.gserviceaccount.com",
"aud": "https://fleetengine.googleapis.com/",
"iat": 1511900000,
"exp": 1511903600,
"scope": "https://www.googleapis.com/auth/xapi",
"authorization": {
"taskid": "*",
"deliveryvehicleid": "*",
}
}
Arka uç sunucu işlemleri için alternatif kimlik doğrulama yöntemi
Google, arka uç sunucu işlemlerinin kimliğini doğrulamak için ADC'yi kullanmanızı önerir. ADC'yi kullanamıyorsanız ve JWT'leri kullanmanız gerekiyorsa bu örneklere bakın.
İsteğe bağlı arka uç sunucu işlemi için örnek jeton
{ "alg": "RS256", "typ": "JWT", "kid": "private_key_id_of_provider_service_account" } { "iss": "provider@yourgcpproject.iam.gserviceaccount.com", "sub": "provider@yourgcpproject.iam.gserviceaccount.com", "aud": "https://fleetengine.googleapis.com/", "iat": 1511900000, "exp": 1511903600, "authorization": { "vehicleid": "*", "tripid": "*" } }
Planlanmış arka uç sunucu işlemi için örnek jeton
{ "alg": "RS256", "typ": "JWT", "kid": "private_key_id_of_provider_service_account" } . { "iss": "provider@yourgcpproject.iam.gserviceaccount.com", "sub": "provider@yourgcpproject.iam.gserviceaccount.com", "aud": "https://fleetengine.googleapis.com/", "iat": 1511900000, "exp": 1511903600, "authorization": { "taskid": "*" } }
Planlanmış bir arka uç sunucusu görevleri toplu oluşturma işlemi için örnek jeton
{ "alg": "RS256", "typ": "JWT", "kid": "private_key_id_of_provider_service_account" } . { "iss": "provider@yourgcpproject.iam.gserviceaccount.com", "sub": "provider@yourgcpproject.iam.gserviceaccount.com", "aud": "https://fleetengine.googleapis.com/", "iat": 1511900000, "exp": 1511903600, "authorization": { "taskids": ["*"] } }
Planlanmış bir arka uç sunucusu araç başına teslim işlemi için örnek jeton
{ "alg": "RS256", "typ": "JWT", "kid": "private_key_id_of_provider_service_account" } . { "iss": "provider@yourgcpproject.iam.gserviceaccount.com", "sub": "provider@yourgcpproject.iam.gserviceaccount.com", "aud": "https://fleetengine.googleapis.com/", "iat": 1511900000, "exp": 1511903600, "authorization": { "deliveryvehicleid": "*" } }
Sırada ne var?
- Deneme aracı oluşturmak ve jetonlarınızın amaçlandığı gibi çalıştığından emin olmak için kurulumunuzu doğrulayın.
- Arka uç sunucu işlemlerinde JWT'ler yerine ADC kullanma hakkında bilgi için Güvenliğe genel bakış bölümüne bakın.