このページは Cloud Translation API によって翻訳されました。

JSON ウェブトークン

JSON ウェブトークン（JWT）は、クライアントとサーバー間の情報交換の認証と認可に使用されるオープンウェブ標準です。アプリユーザーが適切なロール認証情報で初めてログインすると、サーバーは後続のリクエストで使用するエンコードされたデジタル署名付き JWT を作成して返します。このプロセスでは、ユーザーの認証と、アカウントのロールに基づくルート、サービス、リソースへのアクセス権の付与の両方が行われます。

Fleet Engine では、スマートフォンやブラウザなどの信頼度の低い環境からの API メソッド呼び出しに JSON Web Token（JWT）を使用する必要があります。

JWT はサーバーで生成され、署名と暗号化が行われてクライアントに渡されます。有効期限が切れるか無効になるまで、以降のサーバーとのやり取りで使用されます。

主な詳細

アプリケーションのデフォルト認証情報を使用して、Fleet Engine に対して認証と認可を行います。
適切なサービスアカウントを使用して JWT に署名します。Fleet Engine の基本の Fleet Engine サービスアカウントのロールをご覧ください。

API キーとは異なり、JWT は有効期間が短く、ロールに実行権限が付与されているオペレーションのみに制限されます。JWT の詳細については、Wikipedia の JSON Web Token をご覧ください。アクセスロールの詳細については、このガイドのサービスアカウントのロールをご覧ください。

JWT 要素

JWT には、ヘッダーとクレームセクションが含まれます。ヘッダーセクションには、サービスアカウントから取得した秘密鍵や暗号化アルゴリズムなどの情報が含まれています。クレームセクションには、JWT の作成時間、有効期間、JWT がアクセスを要求するサービス、アクセスをスコープするその他の認可情報（配達車両 ID など）などの情報が含まれています。

次の表に、JWT フィールドの一般的な説明と、Fleet Engine Cloud プロジェクトでこれらのフィールドの値を見つけることができる場所に関する具体的な情報を示します。

JWT ヘッダーフィールド
フィールド	説明
alg	使用するアルゴリズム。`RS256`。
typ	トークンの種類。`JWT`。
子供	サービスアカウントの秘密鍵 ID。この値は、サービスアカウントの JSON ファイルの `private_key_id` フィールドで確認できます。適切なレベルの権限を持つサービスアカウントのキーを使用するようにしてください。

JWT クレームフィールド
フィールド	説明
iss	サービスアカウントのメールアドレス。サービスアカウントの JSON ファイルの `client_email` フィールドにあります。
Pub/Subです	サービスアカウントのメールアドレス。サービスアカウントの JSON ファイルの `client_email` フィールドにあります。
AUD	サービスアカウントの `SERVICE_NAME`（この場合は `https://fleetengine.googleapis.com/`）
iat	JWT が作成されたときのタイムスタンプ。00:00:00 `UTC, January 1, 1970` からの経過秒数で指定します。スキューには 10 分かかります。タイムスタンプが過去または未来に遠すぎる場合、サーバーはエラーを報告する可能性があります。
exp	JWT の有効期限が切れるタイムスタンプ。`00:00:00 UTC, January 1, 1970` からの経過秒数で指定します。タイムスタンプが 1 時間以上未来の場合、リクエストは失敗します。
authorization	使用ケースに応じて、`deliveryvehicleid` 、`trackingid` 、`taskid` 、または`taskids`。 taskids を指定する場合、認可スコープは次のいずれかの形式の配列にする必要があります。 `"taskids": ["task_id_one","task_id_two"]` または `"taskids": ["*"]`

フリートエンジン JWT クレーム

Fleet Engine はプライベートクレームを使用します。プライベートクレームを使用すると、承認されたクライアントのみが自分のデータにアクセスできるようになります。

たとえば、サーバーがドライバーのモバイルデバイスに対して JSON Web Token を発行する場合、そのトークンには、そのドライバーの車両 ID の値を持つ vehicleid クレームまたは deliveryvehicleid クレームのいずれかが含まれている必要があります。次に、ドライバーの役割に応じて、JWT は特定の車両 ID のみへのアクセスを有効にし、他の任意の車両 ID へのアクセスは許可しません。

Fleet Engine は次のプライベートクレームを使用します。

オンデマンドの乗車

vehicleid:
- Driver SDK は、乗車中か車両のどちらで動作しているかにかかわらず、常にこのクレームを使用します。Fleet Engine バックエンドは、変更を行う前に、車両がリクエストされた乗車に関連付けられていることを確認します。
- JWT は、必須でなくても、車両と乗車両方のオペレーションをカバーできます。これにより、JWT 署名の実装が簡素化される可能性があります。
tripid:
- Consumer SDK は常にこのクレームを使用します。
- JWT は、必須ではない場合でも、車両と乗車操作の両方をカバーできます。これにより、トークン署名の実装が簡素化される可能性があります。

スケジュール設定されたタスク

deliveryvehicleid

配送車両ごとの API を呼び出すときに使用します。
taskid

タスクごとの API を呼び出すときに使用します。
taskids

BatchCreateTasksAPI を呼び出すときに使用します。この要求は配列形式である必要があり、配列には要求を完了するために必要なすべてのタスク ID が含まれている必要があります。delivervehicleid、trackingid、taskid の各クレームは含めないでください。
trackingid

GetTaskTrackingInfoAPI を呼び出すときに使用します。申し立ては、リクエストのトラッキング ID と一致する必要があります。delivervehicleid、taskid、taskids の各クレームは含めないでください。

次のステップ

完全な認証フローについては、Fleet Engine のセキュリティ設計をご覧ください。
サーバーから JSON Web Token を発行する方法を学習する。

JSON ウェブトークン コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。