Tokeny sieciowe JSON

Token internetowy JSON (JWT) to otwarty standard internetowy używany do uwierzytelniania i autoryzowania wymiany informacji między klientem a serwerem. Gdy użytkownik aplikacji zaloguje się po raz pierwszy za pomocą odpowiednich danych logowania, serwer utworzy i zwróci zakodowany, podpisany cyfrowo JWT do użycia w kolejnych żądaniach. Ten proces uwierzytelnia użytkownika i przyznaje mu uprawnienia dostępu do tras, usług i zasobów na podstawie roli konta.

Fleet Engine wymaga używania tokenów sieciowych JSON (JWT) w przypadku wywołań metod interfejsu API z środowisk o niskim poziomie zaufania: smartfonów i przeglądarek.

Token JWT pochodzi z Twojego serwera, jest podpisany i zaszyfrowany, a następnie przekazywany do klienta w celu dalszych interakcji z serwerem, dopóki nie wygaśnie lub nie będzie już ważny.

Najważniejsze informacje

Użyj domyślnego uwierzytelniania aplikacji, aby uwierzytelniać i autoryzować dostęp do Fleet Engine.
Używaj odpowiedniego konta usługi do podpisywania tokenów JWT. Więcej informacji o rolach konta usługi Fleet Engine znajdziesz w artykule Podstawowe informacje o Fleet Engine.

W odróżnieniu od kluczy interfejsu API tokeny JWT mają krótki okres ważności i ograniczają operacje tylko do tych, które może wykonywać dana rola. Więcej informacji o tokenach JWT znajdziesz w artykule JSON Web Tokens w Wikipedii. Więcej informacji o rolach dostępu znajdziesz w sekcji Role kont usługi w tym przewodniku.

Elementy JWT

Tokeny JWT zawierają nagłówek i sekcję deklaracji. Sekcja nagłówka zawiera informacje takie jak klucz prywatny uzyskany z kont usługi i algorytm szyfrowania. Sekcja deklaracji zawiera informacje takie jak czas utworzenia JWT, czas życia danych (TTL), usługi, do których JWT deklaruje dostęp, oraz inne informacje o autoryzacji, które ograniczają zakres dostępu, np. identyfikator pojazdu dostawczego.

W tabeli poniżej znajdziesz ogólne informacje o polach JWT oraz szczegółowe informacje o tym, gdzie w projekcie Fleet Engine w chmurze możesz znaleźć wartości tych pól.

Pola nagłówka JWT
Pole	Opis
alg	Algorytm do użycia. `RS256`.
typ	Typ tokena. `JWT`.
dziecko	Identyfikator klucza prywatnego konta usługi. Znajdziesz go w polu `private_key_id` pliku JSON konta usługi. Używaj klucza z konta usługi z odpowiednim poziomem uprawnień.

Pola roszczeń JWT
Pole	Opis
iss	Adres e-mail konta usługi, który znajdziesz w polu `client_email` w pliku JSON konta usługi.
zast.	Adres e-mail konta usługi, który znajdziesz w polu `client_email` w pliku JSON konta usługi.
aud	`SERVICE_NAME` na koncie usługi, w tym przypadku `https://fleetengine.googleapis.com/`
iat	Sygnatura czasowa utworzenia tokena JWT, podana w sekundach, które upłynęły od godziny 00:00:00 `UTC, January 1, 1970`. Odchylenie może potrwać 10 minut. Jeśli sygnatura czasowa jest zbyt odległa w przeszłości lub przyszłości, serwer może zgłosić błąd.
exp	Sygnatura czasowa wygaśnięcia tokena JWT podana w sekundach, które upłynęły od `00:00:00 UTC, January 1, 1970`. Żądanie kończy się niepowodzeniem, jeśli sygnatura czasowa jest późniejsza niż za godzinę.
autoryzacja	W zależności od przypadku użycia może zawierać `deliveryvehicleid`, `trackingid`, `taskid` lub `taskids`. Jeśli określasz identyfikatory zadań, zakres autoryzacji musi być tablicą w jednej z tych form: `"taskids": ["task_id_one","task_id_two"]` lub `"taskids": ["*"]`

Roszczenia JWT w usłudze Fleet Engine

Fleet Engine używa prywatnych roszczeń. Używanie prywatnych roszczeń zapewnia, że tylko autoryzowani klienci mogą uzyskać dostęp do własnych danych.

Na przykład, gdy serwer wydaje token sieciowy JSON na urządzenie mobilne kierowcy, powinien on zawierać roszczenie vehicleid lub roszczenie deliveryvehicleid z wartością identyfikatora pojazdu tego kierowcy. W zależności od roli kierowcy tokeny JWT umożliwiają dostęp tylko do konkretnego identyfikatora pojazdu, a nie do dowolnego innego identyfikatora pojazdu.

Fleet Engine używa tych prywatnych roszczeń:

Przejazdy na żądanie

vehicleid:
- Pakiet Driver SDK zawsze używa tego roszczenia, niezależnie od tego, czy jest używany podczas przejazdu czy w pojeździe. Backend Fleet Engine sprawdza, czy pojazd jest powiązany z odpowiednią podróżą, zanim wprowadzi zmiany.
- Token JWT może obejmować operacje związane z pojazdem i przejazdem, nawet jeśli nie jest to wymagane, co może uprościć implementację podpisywania tokena JWT.
tripid:
- Pakiet SDK dla konsumentów zawsze używa tego roszczenia.
- Token JWT może obejmować zarówno operacje związane z pojazdem, jak i z przejazdem, nawet jeśli nie jest to wymagane, co może uprościć implementację podpisywania tokenów.

Zaplanowane zadania

deliveryvehicleid

Używaj podczas wywoływania interfejsów API dotyczących poszczególnych pojazdów dostawczych.
taskid

Używaj podczas wywoływania interfejsów API dla poszczególnych zadań.
taskids

Używaj podczas dzwonienia na numer BatchCreateTasksAPI. To roszczenie musi mieć postać tablicy, która powinna zawierać wszystkie identyfikatory zadań niezbędne do zrealizowania żądania. Nie podawaj informacji delivervehicleid, trackingid ani taskid.
trackingid

Używaj podczas wywoływania funkcji GetTaskTrackingInfoAPI. Roszczenie musi być zgodne z identyfikatorem śledzenia w żądaniu. Nie podawaj informacji delivervehicleid, taskid ani taskids.

Co dalej?

Aby poznać pełny proces uwierzytelniania, przeczytaj artykuł Projekt zabezpieczeń Fleet Engine.
Dowiedz się, jak wydawać tokeny sieciowe JSON z serwera.

Tokeny sieciowe JSON Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.