Les fonctionnalités ARCore telles que l'API Geospatial et Cloud Anchors utilisent l'API ARCore hébergée sur Google Cloud. Lorsque vous utilisez ces fonctionnalités, votre application utilise des identifiants pour accéder au service de l'API ARCore.
Ce guide de démarrage rapide explique comment configurer votre application pour qu'elle puisse communiquer avec le service d'API ARCore hébergé sur Google Cloud.
Créez un projet Google Cloud ou utilisez un projet existant
Si vous avez déjà un projet, sélectionnez-le.
Accéder au sélecteur de projet
Si vous ne disposez d'aucun projet Google Cloud, créez-en un.
Activer l'API ARCore
Pour utiliser l'API ARCore, vous devez l'activer dans votre projet.
Configurer une méthode d'autorisation
Une application Unity peut communiquer avec l'API ARCore à l'aide de deux méthodes d'autorisation différentes: la méthode recommandée, l'autorisation sans clé, et l'autorisation par clé API:
Sur Android, l'autorisation sans clé utilise une combinaison du nom du package de l'application et de l'empreinte de la clé de signature pour autoriser votre application.
Sur iOS, l'autorisation sans clé utilise un jeton signé pour contrôler l'accès à l'API. Cette méthode nécessite qu'un serveur dont vous êtes propriétaire signe des jetons et contrôle l'accès à l'API.
Une clé API est une chaîne qui identifie un projet Google Cloud. Les clés API ne sont généralement pas considérées comme sécurisées, car elles sont généralement accessibles aux clients. Envisagez d'utiliser l'autorisation sans clé pour communiquer avec l'API ARCore.
Sans clé
Pour autoriser votre application à l'aide de l'authentification sans clé, créez des ID client OAuth 2.0.
Déterminer les empreintes de la clé de signature
Un ID client OAuth 2.0 utilise l'empreinte de la clé de signature de votre application pour l'identifier.
Obtenir votre empreinte de signature de débogage
Lors de l'exécution ou du débogage de votre projet, les SDK Tools pour Android signent automatiquement votre application avec un certificat de débogage généré.
Utilisez la commande suivante pour obtenir l'empreinte du certificat de débogage.keytool -list -v -alias androiddebugkey -keystore ~/.android/debug.keystore
keytool -list -v -alias androiddebugkey -keystore %USERPROFILE%\.android\debug.keystore
L'utilitaire keytool
vous invite à saisir un mot de passe pour le keystore. Le mot de passe par défaut du keystore de débogage est android
. L'utilitaire keytool
affiche ensuite l'empreinte sur le terminal. Exemple :
Certificate fingerprint: SHA1: <strong>DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09
Obtenir une empreinte de signature à partir d'un keystore
Si vous disposez d'un fichier keystore, utilisez l'utilitaire keytool
pour déterminer l'empreinte.
keytool -list -v -alias your-key-name -keystore path-to-production-keystore
L'utilitaire keytool
affiche ensuite l'empreinte sur le terminal. Exemple :
Certificate fingerprint: SHA1: DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09
Obtenir la clé de signature de votre application auprès du service Signature d'application Play
Lorsque vous utilisez la signature d'application Play, Google gère la clé de signature de votre application et l'utilise pour signer vos APK. Cette clé doit être utilisée pour l'empreinte de signature.
- Sur la page Signature d'application de la Google Play Console, faites défiler la page jusqu'à Certificat de la clé de signature d'application.
- Utilisez l'empreinte du certificat SHA-1.
Créer des ID client OAuth 2.0
Pour chaque clé de signature applicable des étapes précédentes, créez un ID client OAuth 2.0 dans les identifiants de votre projet Google Cloud.
Dans Google Cloud, ouvrez la page "Identifiants".
Cliquez sur Créer des identifiants, puis sélectionnez ID client OAuth dans le menu.
Remplissez les champs obligatoires comme suit:
- Type d'application: sélectionnez Android.
- Package name (Nom du package) : utilisez le nom du package tel qu'indiqué dans votre fichier AndroidManifest.xml.
- Empreinte du certificat SHA-1: utilisez une empreinte obtenue lors des étapes précédentes.
Appuyez sur Créer.
Inclure les bibliothèques requises
- Incluez
com.google.android.gms:play-services-auth:16+
dans les dépendances de votre application. Si vous utilisez la minification du code, ajoutez-le au fichier
build.gradle
de votre application:buildTypes { release { ... proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro' } }
Ajoutez le code suivant au fichier
proguard-rules.pro
de votre application:-keep class com.google.android.gms.common.** { *; } -keep class com.google.android.gms.location.** { *; } -keep class com.google.android.gms.auth.** { *; } -keep class com.google.android.gms.tasks.** { *; }
Votre application est maintenant configurée pour utiliser l'authentification sans clé.
Sans clé
ARCore accepte l'autorisation des appels d'API dans iOS à l'aide d'un jeton Web JSON. Le jeton doit être signé par un compte de service Google.
Afin de générer des jetons pour iOS, vous devez disposer d'un point de terminaison sur votre serveur qui répond aux exigences suivantes:
Votre propre mécanisme d'autorisation doit protéger le point de terminaison.
Le point de terminaison doit générer un nouveau jeton à chaque fois, comme suit:
- Chaque utilisateur obtient un jeton unique.
- Les jetons n'expirent pas immédiatement.
Créer un compte de service et une clé de signature
Pour créer un compte de service et une clé de signature Google, procédez comme suit:
- Dans Google Cloud, ouvrez la page "Identifiants".
Identifiants - Cliquez sur Créer des identifiants > Compte de service.
- Sous Détails du compte de service, saisissez un nom pour le nouveau compte, puis cliquez sur Créer.
- Sur la page "Autorisations de compte de service", accédez à la liste déroulante Sélectionnez un rôle. Sélectionnez Comptes de service > Créateur de jetons du compte de service, puis cliquez sur "Continuer".
- Sur la page Autoriser les utilisateurs à accéder à ce compte de service, cliquez sur "OK".
- Sur la page Identifiants, recherchez la section "Comptes de service", puis cliquez sur le nom du compte que vous venez de créer.
- Sur la page Détails du compte de service, faites défiler la page jusqu'à la section "Clés", puis sélectionnez Ajouter une clé > Créer une clé.
Sélectionnez le type de clé JSON, puis cliquez sur Créer.
Un fichier JSON contenant la clé privée est alors téléchargé sur votre ordinateur. Stockez le fichier de clé JSON téléchargé dans un emplacement sécurisé.
Créer des jetons sur votre serveur
Pour créer des jetons (JWT) sur votre serveur, utilisez les bibliothèques JWT standards et le fichier JSON que vous avez téléchargé de manière sécurisée à partir de votre nouveau compte de service.
Créer des jetons sur votre ordinateur de développement
Pour générer des jetons JWT sur votre ordinateur de développement, exécutez la commande oauth2l
suivante:
oauth2l fetch --cache "" --jwt --json $KEYFILE --audience "https://arcore.googleapis.com/"
La spécification d'un emplacement de cache vide à l'aide de l'option --cache
est nécessaire pour garantir la génération d'un jeton différent à chaque fois. Veillez à couper la chaîne obtenue. Des espaces ou des caractères de retour à la ligne supplémentaires entraîneront le refus du jeton par l'API.
Signer le jeton
Vous devez utiliser l'algorithme RS256
et les revendications suivantes pour signer le jeton JWT:
iss
: adresse e-mail du compte de service.sub
: adresse e-mail du compte de service.iat
: heure de l'epoch Unix en secondes.exp
—iat
+3600
(1 heure). Heure de l'epoch Unix à laquelle le jeton expire, en secondes.aud
: audience. Il doit être défini surhttps://arcore.googleapis.com/
.
Les revendications non standards ne sont pas requises dans la charge utile JWT, bien que la revendication uid
puisse vous aider à identifier l'utilisateur correspondant.
Si vous utilisez une approche différente pour générer vos jetons JWT, par exemple en utilisant une API Google dans un environnement géré par Google, veillez à les signer avec les revendications décrites dans cette section. Avant tout, assurez-vous que l'audience est la bonne.
Transmettre le jeton dans la session ARCore
- Assurez-vous que la stratégie d'authentification iOS est définie sur AuthenticationToken. Dans Unity, accédez à Edit > Project Settings > XR Plug-in Management > ARCore Extensions (Modifier > Paramètres du projet > Gestion des plug-ins XR > Extensions ARCore). Dans le menu déroulant Stratégie d'authentification iOS, sélectionnez l'option Jeton d'authentification.
Lorsque vous obtenez un jeton, transmettez-le à votre session ARCore à l'aide de
ARAnchorManager.SetAuthToken()
:// Designate the token to authorize ARCore API calls // on the iOS platform. This should be called each time the application's token is refreshed. ARAnchorManager.SetAuthToken(authToken);
Votre application est maintenant configurée pour utiliser l'authentification sans clé.
Notez les points suivants lorsque vous transmettez un jeton dans la session:
Si vous avez utilisé une clé API pour créer la session, ARCore ignorera le jeton et générera une erreur.
Si vous n'avez plus besoin de la clé API, supprimez-la dans la Google Developers Console, puis supprimez-la de votre application.
ARCore ignore les jetons contenant des espaces ou des caractères spéciaux.
Les jetons expirent généralement au bout d'une heure. S'il est possible que votre jeton expire pendant son utilisation, obtenez un nouveau jeton et transmettez-le à l'API.
Clé API
- Dans Google Cloud, ouvrez la page "Identifiants".
Identifiants - Cliquez sur Créer des identifiants, puis sélectionnez Clé API dans le menu.
La boîte de dialogue "Clé API créée" affiche la chaîne de la clé que vous venez de créer. Dans Unity, accédez à Edit > Project Settings > XR Plug-in Management > ARCore Extensions (Modifier > Paramètres du projet > Gestion des plug-ins XR > Extensions ARCore). Pour chaque plate-forme cible (Android, iOS), sélectionnez l'option Clé API dans le menu déroulant Authentication Strategy (Stratégie d'authentification). Insérez ensuite votre clé API dans ses champs.
- Consultez la documentation sur les restrictions de clé API pour sécuriser votre clé API.
Votre application est maintenant configurée pour utiliser des clés API.
Étapes suivantes
Une fois l'autorisation configurée, vérifiez les fonctionnalités ARCore suivantes qui l'utilisent: