โทเค็นเว็บ JSON

โทเค็นเว็บ JSON (JWT) เป็นมาตรฐานเว็บแบบเปิดที่ใช้สำหรับการตรวจสอบสิทธิ์ และให้สิทธิ์การแลกเปลี่ยนข้อมูลระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์ เมื่อผู้ใช้แอป ลงชื่อเข้าใช้ครั้งแรกด้วยข้อมูลเข้าสู่ระบบที่มีบทบาทที่เหมาะสม เซิร์ฟเวอร์จะสร้าง และส่งคืน JWT ที่เข้ารหัสและลงชื่อแบบดิจิทัลเพื่อใช้กับคำขอที่ตามมา กระบวนการนี้จะตรวจสอบสิทธิ์ผู้ใช้และให้สิทธิ์ผู้ใช้เข้าถึงเส้นทาง บริการ และทรัพยากรตามบทบาทของบัญชี

Fleet Engine กำหนดให้ใช้ JSON Web Token (JWT) สำหรับการเรียกเมธอด API จากสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ ได้แก่ สมาร์ทโฟนและเบราว์เซอร์

JWT มาจากเซิร์ฟเวอร์ของคุณ มีการลงชื่อ เข้ารหัส และส่งไปยังไคลเอ็นต์ สำหรับการโต้ตอบกับเซิร์ฟเวอร์ในภายหลังจนกว่าจะหมดอายุหรือไม่ถูกต้องอีกต่อไป

รายละเอียดสำคัญ

• ใช้ข้อมูลรับรองเริ่มต้นของแอปพลิเคชันเพื่อตรวจสอบสิทธิ์และ ให้สิทธิ์กับ Fleet Engine
• ใช้บัญชีบริการที่เหมาะสมเพื่อลงนามใน JWT ดูบทบาทของบัญชีบริการ Fleet Engine ในข้อมูลพื้นฐานเกี่ยวกับ Fleet Engine

JWT มีอายุสั้นและจำกัดการดำเนินการเฉพาะการดำเนินการที่บทบาทได้รับอนุญาตให้ดำเนินการเท่านั้น ซึ่งแตกต่างจากคีย์ API ดูข้อมูลเพิ่มเติมเกี่ยวกับ JWT ได้ที่ โทเค็นเว็บ JSON ใน Wikipedia ดูรายละเอียดเกี่ยวกับบทบาทการเข้าถึงได้ที่บทบาทของบัญชีบริการในคู่มือนี้

องค์ประกอบ JWT

JWT มีส่วนหัวและส่วนการอ้างสิทธิ์ ส่วนหัวมีข้อมูล เช่น คีย์ส่วนตัวที่ได้จากบัญชีบริการ และอัลกอริทึมการเข้ารหัส ส่วนการอ้างสิทธิ์มีข้อมูล เช่น เวลาสร้างของ JWT อายุการใช้งาน บริการที่ JWT อ้างสิทธิ์ เข้าถึง และข้อมูลการให้สิทธิ์อื่นๆ เพื่อกำหนดขอบเขตการเข้าถึง เช่น รหัสยานพาหนะนำส่ง

ตารางต่อไปนี้แสดงรายละเอียดคำอธิบายเกี่ยวกับฟิลด์ JWT โดยทั่วไป รวมถึงข้อมูลเฉพาะเกี่ยวกับตำแหน่งที่คุณดูค่าของฟิลด์เหล่านี้ ได้ในโปรเจ็กต์ Cloud ของ Fleet Engine

ฟิลด์ส่วนหัวของ JWT

ฟิลด์	คำอธิบาย
alg	อัลกอริทึมที่จะใช้ `RS256`
typ	ประเภทของโทเค็น `JWT`
บุตรหลาน	รหัสคีย์ส่วนตัวของบัญชีบริการ คุณดูค่านี้ได้ในฟิลด์ private_key_id ของไฟล์ JSON ของบัญชีบริการ ตรวจสอบ ว่าใช้คีย์จากบัญชีบริการที่มีสิทธิ์ในระดับที่ถูกต้อง

ฟิลด์การอ้างสิทธิ์ JWT

ฟิลด์	คำอธิบาย
iss	อีเมลของบัญชีบริการ ซึ่งอยู่ในฟิลด์ client_email ของไฟล์ JSON ของบัญชีบริการ
สำรอง	อีเมลของบัญชีบริการ ซึ่งอยู่ในฟิลด์ client_email ของไฟล์ JSON ของบัญชีบริการ
aud	SERVICE_NAME ของบัญชีบริการ ในกรณีนี้คือ https://fleetengine.googleapis.com/
iat	การประทับเวลาเมื่อสร้าง JWT โดยระบุเป็นวินาที ที่ผ่านไปตั้งแต่ 00:00:00 UTC, January 1, 1970 เผื่อเวลา 10 นาทีสำหรับความเอียง หากการประทับเวลาอยู่ในอดีตหรืออนาคตนานเกินไป เซิร์ฟเวอร์อาจรายงานข้อผิดพลาด
exp	การประทับเวลาเมื่อ JWT หมดอายุ โดยระบุเป็นวินาทีที่ผ่านไป นับตั้งแต่ 00:00:00 UTC, January 1, 1970 คำขอจะล้มเหลวหาก การประทับเวลาอยู่เกิน 1 ชั่วโมงในอนาคต
การให้สิทธิ์	อาจมี deliveryvehicleid, trackingid, taskid หรือ taskids ขึ้นอยู่กับกรณีการใช้งาน หากระบุ taskids ขอบเขตการให้สิทธิ์ต้องเป็นอาร์เรย์ในรูปแบบใดรูปแบบหนึ่งต่อไปนี้ "taskids": ["task_id_one","task_id_two"] หรือ "taskids": ["*"]

การอ้างสิทธิ์ JWT ของ Fleet Engine

Fleet Engine ใช้การอ้างสิทธิ์ส่วนตัว การใช้การอ้างสิทธิ์ส่วนตัวช่วยให้มั่นใจได้ว่ามีเพียงไคลเอ็นต์ที่ได้รับอนุญาตเท่านั้นที่เข้าถึงข้อมูลของตนเองได้

ตัวอย่างเช่น เมื่อเซิร์ฟเวอร์ออกโทเค็นเว็บ JSON สำหรับอุปกรณ์เคลื่อนที่ของคนขับ โทเค็นควรมีvehicleidอ้างสิทธิ์หรือdeliveryvehicleidอ้างสิทธิ์ที่มีค่ารหัสยานพาหนะของคนขับรายนั้น จากนั้น JWT จะเปิดใช้สิทธิ์เข้าถึงเฉพาะรหัสยานพาหนะที่เฉพาะเจาะจงเท่านั้น และไม่ใช่รหัสยานพาหนะอื่นๆ โดยพลการ ทั้งนี้ขึ้นอยู่กับบทบาทของคนขับ

Fleet Engine ใช้การอ้างสิทธิ์ส่วนตัวต่อไปนี้

ขั้นตอนถัดไป

• อ่านเกี่ยวกับการออกแบบความปลอดภัยของ Fleet Engine เพื่อทำความเข้าใจขั้นตอนการตรวจสอบสิทธิ์ทั้งหมด
• ดูวิธีออกโทเค็นเว็บ JSON จากเซิร์ฟเวอร์