שימוש ב-ARCore API ב-Google Cloud

ללא מפתח

‫ARCore תומך בהרשאה של קריאות ל-API ב-iOS באמצעות JSON Web Token. הטוקן צריך להיות חתום על ידי חשבון שירות של Google.

כדי ליצור אסימונים ל-iOS, צריך להגדיר בשרת נקודת קצה שעומדת בדרישות הבאות:

• מנגנון ההרשאה שלכם צריך להגן על נקודת הקצה.

• נקודת הקצה צריכה ליצור טוקן חדש בכל פעם, כך ש:

  • כל משתמש מקבל אסימון ייחודי.
  • התוקף של הטוקנים לא פג באופן מיידי.

יצירת חשבון שירות ומפתח חתימה

כדי ליצור חשבון שירות של Google ומפתח חתימה:

1. ב-Google Cloud, פותחים את הדף Credentials.
   Credentials
2. לוחצים על Create Credentials > Service account (יצירת אמצעי אימות > חשבון שירות).
3. בקטע פרטי חשבון שירות, מקלידים שם לחשבון החדש ולוחצים על יצירה.
4. בדף Service account permissions (הרשאות לחשבון שירות), עוברים לתפריט הנפתח Select a role (בחירת תפקיד). בוחרים באפשרות Service Accounts > Service Account Token Creator (חשבונות שירות > יצירת אסימונים בחשבון שירות) ולוחצים על Continue (המשך).
5. בדף Grant users access to this חשבון שירות, לוחצים על Done.
6. בדף Credentials, מוצאים את הקטע Service Accounts ולוחצים על שם החשבון שיצרתם.
7. בדף Service account details, גוללים למטה לקטע Keys ובוחרים באפשרות Add Key > Create new key.

8. בוחרים באפשרות JSON בתור סוג המפתח ולוחצים על Create.

   קובץ JSON שמכיל את המפתח הפרטי יורד למחשב שלכם. מאחסנים את קובץ מפתח ה-JSON שהורדתם במיקום מאובטח.

יצירת טוקנים בשרת

כדי ליצור אסימונים חדשים (JWT) בשרת, משתמשים בספריות JWT רגילות ובקובץ ה-JSON שהורדתם בצורה מאובטחת מחשבון השירות החדש.

יצירת אסימונים במחשב הפיתוח

כדי ליצור אסימוני JWT במחשב הפיתוח, משתמשים בפקודה oauth2l הבאה:

oauth2l fetch --cache "" --jwt --json $KEYFILE --audience "https://arcore.googleapis.com/"

כדי להבטיח שיופק טוקן שונה בכל פעם, צריך לציין מיקום ריק במטמון באמצעות הסימון --cache. חשוב לקצץ את המחרוזת שמתקבלת. רווחים מיותרים או תווי שורה חדשה יגרמו לדחיית הטוקן על ידי ה-API.

חתימה על הטוקן

כדי לחתום על ה-JWT, צריך להשתמש באלגוריתם RS256 ובהצהרות הבאות:

• ‫iss – כתובת האימייל בחשבון השירות.
• ‫sub – כתובת האימייל בחשבון השירות.
• ‫iat – חותמת הזמן של מערכת Unix שבה נוצר האסימון, בשניות.
• ‫exp — iat + 3600 (שעה אחת). חותמת הזמן של מערכת Unix שבה יפוג תוקף האסימון, בשניות.
• ‫aud – הקהל. הערך חייב להיות https://arcore.googleapis.com/.

לא נדרשות הצהרות לא סטנדרטיות במטען הייעודי (payload) של JWT, אבל יכול להיות שההצהרה uid תהיה שימושית לזיהוי המשתמש המתאים.

אם אתם משתמשים בגישה אחרת כדי ליצור את אסימוני ה-JWT, למשל באמצעות Google API בסביבה שמנוהלת על ידי Google, הקפידו לחתום על אסימוני ה-JWT עם ההצהרות שמופיעות בקטע הזה. קודם כול, חשוב לוודא שהקהל נכון.

העברת האסימון בסשן ARCore

האפליקציה שלכם מוגדרת עכשיו לשימוש באימות ללא מפתח.

כשמעבירים טוקן לסשן, חשוב לשים לב לנקודות הבאות:

• אם השתמשתם במפתח API כדי ליצור את הסשן, ‏ ARCore יתעלם מהאסימון וירשום שגיאה.

  אם כבר לא צריך את מפתח ה-API, אפשר למחוק אותו ב-Google Developers Console ולהסיר אותו מהאפליקציה.

• ‫ARCore מתעלם מטוקנים שמכילים רווחים או תווים מיוחדים.

• התוקף של האסימונים פג בדרך כלל אחרי שעה אחת. אם יש סיכוי שהטוקן יפוג במהלך השימוש, צריך לקבל טוקן חדש ולהעביר אותו ל-API.

מפתח API

1. ב-Google Cloud, פותחים את הדף Credentials.
   Credentials
2. לוחצים על Create credentials ובתפריט בוחרים באפשרות API key.
   תיבת הדו-שיח API key created מציגה את המחרוזת של המפתח החדש שיצרתם.
4. כדי לאבטח את מפתח ה-API, כדאי לעיין במסמכי התיעוד בנושא הגבלות על מפתחות API.

האפליקציה שלכם מוגדרת עכשיו לשימוש במפתחות API.