Diese Seite wurde von der Cloud Translation API übersetzt.

JSON-Webtokens ausstellen

In diesem Dokument wird beschrieben, wie Sie JSON-Webtokens ausstellen, um Ihren Web- und Mobilanwendungen den Zugriff auf Fleet Engine-Daten zu ermöglichen. Falls noch nicht geschehen, lesen Sie den Abschnitt JSON Web Tokens unter Sicherheit in Fleet Engine. Mit dem Fleet Engine-Dienst können Sie JWTs auf eine der folgenden Arten ausstellen:

Autorisierungsbibliothek verwenden: Google empfiehlt diesen Ansatz, wenn Ihre Codebasis in Java geschrieben ist. Diese Bibliothek übernimmt die Ausstellung von JWTs für alle Anwendungsfallszenarien, die Sie für den Dienst benötigen, und vereinfacht Ihre Implementierung erheblich.
Eigene JWTs erstellen: Wenn Sie unsere JWT-Bibliothek nicht verwenden können, müssen Sie diese in Ihren eigenen Code einbauen. In diesem Abschnitt finden Sie die verschiedenen Beispiele für JWTs für jedes Szenario.

Funktionsweise von JWTs

In nicht vertrauenswürdigen Umgebungen wie Smartphones und Webbrowsern gibt Ihr Backend-Server JWTs aus, die so funktionieren:

Ihr Clientcode, der in einer Umgebung mit geringem Vertrauen ausgeführt wird, ruft Ihren Servercode auf, der in einer Umgebung mit vollem Vertrauen ausgeführt wird, um das entsprechende JWT anzufordern, das an Fleet Engine übergeben werden soll.
JWTs sind mit Dienstkonten verknüpft. Anfragen, die an Fleet Engine gesendet werden, sind daher implizit mit dem Dienstkonto verknüpft, mit dem das JWT signiert wurde.
JWT-Ansprüche schränken die Ressourcen, auf die der Client zugreifen darf, weiter ein, z. B. bestimmte Fahrzeuge, Fahrten oder Aufgaben.

Autorisierungsbibliothek für Java verwenden

Wenn Sie die Fleet Engine-Autorisierungsbibliothek für Java verwenden möchten, rufen Sie das GitHub-Repository auf. Die Bibliothek vereinfacht die Erstellung von Fleet Engine-JWTs und signiert sie sicher. Er bietet Folgendes:

Deklarationen von Projektabhängigkeiten
Eine vollständige Liste aller Dienstkontorollen für On-Demand-Fahrten oder geplante Aufgaben
Andere Mechanismen zum Signieren von Tokens als die Verwendung von Anmeldedatendateien, z. B. Identitätswechsel für ein Dienstkonto
Hängt signierte Tokens an ausgehende Anfragen an, die entweder von einem gRPC-Stub oder einer Google API Codegen-Clientbibliothek (GAPIC) gestellt werden.
Anleitung zum Einbinden der Signer in Fleet Engine-Clientbibliotheken

Wenn Sie JWTs aus Ihrem Code ausstellen

Wenn Sie die Autorisierungsbibliothek für Java nicht verwenden können, müssen Sie JWTs in Ihrer eigenen Codebasis implementieren. In diesem Abschnitt finden Sie einige Richtlinien zum Erstellen eigener Tokens. Eine Liste der JWT-Felder und Ansprüche finden Sie im Abschnitt Sicherheit in Fleet Engine unter JSON Web Tokens. Informationen zu den von Fleet Engine verwendeten Dienstkontorollen finden Sie unter Dienstkontorollen. Im folgenden Abschnitt finden Sie eine Liste mit JWT-Beispielen für On-Demand-Fahrten oder geplante Aufgaben.

Allgemeine Richtlinien

Geeignete Dienstkonten und Rollen verwenden Das Dienstkonto und die zugehörige Rolle sorgen dafür, dass der Nutzer, der das Token anfordert, berechtigt ist, die Informationen aufzurufen, auf die er mit dem Token Zugriff erhält. Zum Beispiel:
- Wenn Sie ein JWT signieren, das an ein Mobilgerät übergeben werden soll, verwenden Sie das Dienstkonto für die Rolle „Driver SDK“ oder „Consumer SDK“. Andernfalls kann das Mobilgerät Daten ändern und auf Daten zugreifen, auf die es keinen Zugriff haben sollte.
- Wenn Sie das JWT für privilegierte Aufrufe signieren, verwenden Sie das Dienstkonto mit der richtigen Fleet Engine-Administratorrolle, wenn Sie ADC oder JWTs verwenden. Andernfalls schlägt der Vorgang fehl.
Nur die erstellten Tokens weitergeben: Geben Sie die Anmeldedaten, mit denen die Tokens erstellt wurden, niemals weiter.
Bei gRPC-Aufrufen hängt die Methode zum Anhängen des Tokens von der Sprache und dem Framework ab, mit dem der Aufruf erfolgt. Um ein Token für einen HTTP-Aufruf anzugeben, müssen Sie einen Authorization-Header mit einem Bearertoken einfügen, dessen Wert das Token ist.
Ablaufzeit zurückgeben Ihr Server muss eine Ablaufzeit für das Token zurückgeben, in der Regel in Sekunden.
Wenn Sie ein JSON direkt als Tokeninhaber erstellen und signieren müssen, anstatt OAuth 2.0-Zugriffstokens zu verwenden, lesen Sie die Anleitung zur Dienstkontoautorisierung ohne OAuth in der Identity-Entwicklerdokumentation.

Für On-Demand-Fahrten

Fügen Sie beim Erstellen der JWT-Nutzlast im Autorisierungsabschnitt einen zusätzlichen Anspruch mit dem Schlüssel vehicleid oder tripid hinzu, der auf den Wert der Fahrzeug-ID oder der Fahrt-ID gesetzt ist, für die der Aufruf erfolgt.

Für geplante Aufgaben

Wenn Ihr Server andere APIs aufruft, müssen die Tokens auch den entsprechenden Anspruch enthalten. Dazu haben Sie folgende Möglichkeiten:
- Legen Sie den Wert jedes Schlüssels auf * fest.
- Gewähren Sie dem Nutzer Zugriff auf alle taskids und deliveryvehicleids. Dazu fügen Sie im Autorisierungsabschnitt einen zusätzlichen Anspruch mit den Schlüsseln taskid und deliveryvehicleid hinzu.
- Wenn Sie das Sternchen (*) im taskids-Anspruch verwenden, muss es das einzige Element im Array sein.

JWT-Beispiele für On-Demand-Fahrten

In diesem Abschnitt finden Sie JWT-Beispiele für gängige Szenarien, wenn Sie On-Demand-Fahrten nutzen.

Beispiel-Token für einen Vorgang in einer Fahrer-App

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "private_key_id_of_driver_service_account"
}
.
{
  "iss": "driver@yourgcpproject.iam.gserviceaccount.com",
  "sub": "driver@yourgcpproject.iam.gserviceaccount.com",
  "aud": "https://fleetengine.googleapis.com/",
  "iat": 1511900000,
  "exp": 1511903600,
  "authorization": {
     "vehicleid": "driver_12345"
   }
}

Beispiel für ein Token für einen Vorgang in einer Verbraucher-App

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "private_key_id_of_consumer_service_account"
}
.
{
  "iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
  "sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
  "aud": "https://fleetengine.googleapis.com/",
  "iat": 1511900000,
  "exp": 1511903600,
  "authorization": {
     "tripid": "trip_54321"
   }
}

JWT-Beispiele für geplante Aufgaben

In diesem Abschnitt finden Sie JWT-Beispiele für typische Szenarien, wenn Sie geplante Aufgaben verwenden.

Beispiel für ein Token für eine Fahrer-App

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_delivery_driver_service_account"
    }
    .
    {
      "iss": "driver@yourgcpproject.iam.gserviceaccount.com",
      "sub": "driver@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "deliveryvehicleid": "driver_12345"
       }
    }

Beispiel für ein Token für eine Verbraucher-App

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_delivery_consumer_service_account"
    }
    .
    {
      "iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
      "sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "trackingid": "shipment_12345"
       }
    }

JWT-Beispiele für Flottenvorgänge

In diesem Abschnitt finden Sie ein JWT-Beispiel für ein typisches Szenario im Flottenbetrieb.

Beispiel-Token zum Erfassen aller Aufgaben und Fahrzeuge in einer Flotte

Das folgende Beispiel ist ein Token, mit dem alle Aufgaben und Fahrzeuge in der Flotte über eine webbasierte App verfolgt werden, die von einem Bediener verwendet wird. Die für diese Vorgänge erforderlichen Berechtigungen sind umfangreicher als für Clientanwendungen. Informationen zur clientseitigen Implementierung, bei der dieses Token verwendet wird, finden Sie unter JavaScript-Bibliothek für die Flottenverfolgung einrichten:

Signieren Sie das Token mit der Fleet Engine Delivery Fleet Reader Cloud IAM-Rolle.

Hinweis: Das mit dieser Rolle erstellte Token gewährt einige Berechtigungen für Fleet Engine-Entitäten. Achten Sie darauf, dass Ihr Backend das Token nur für authentifizierte Nutzer freigibt.

   {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_consumer_service_account"
    }
    .
    {
      "iss": "superuser@yourgcpproject.iam.gserviceaccount.com",
      "sub": "superuser@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "scope": "https://www.googleapis.com/auth/xapi",
      "authorization": {
         "taskid": "*",
         "deliveryvehicleid": "*",
       }
    }

Alternative Authentifizierungsmethode für Back-End-Servervorgänge

Google empfiehlt, ADC zur Authentifizierung von Backend-Servervorgängen zu verwenden. Wenn Sie ADC nicht verwenden können und JWTs verwenden müssen, sehen Sie sich diese Beispiele an.

Beispiel für ein Token für einen On-Demand-Backend-Servervorgang

  {
    "alg": "RS256",
    "typ": "JWT",
    "kid": "private_key_id_of_provider_service_account"
  }

  {
    "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
    "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
    "aud": "https://fleetengine.googleapis.com/",
    "iat": 1511900000,
    "exp": 1511903600,
    "authorization": {
       "vehicleid": "*",
       "tripid": "*"
     }
  }

Beispiel für ein Token für einen geplanten Backend-Servervorgang

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "taskid": "*"
       }
    }

Beispiel für ein Token für einen geplanten Batchvorgang zum Erstellen von Aufgaben auf einem Backend-Server

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "taskids": ["*"]
       }
    }

Beispiel für ein Token für einen geplanten Backend-Server-Vorgang pro Lieferfahrzeug

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "deliveryvehicleid": "*"
       }
    }

Nächste Schritte

Einrichtung überprüfen, damit Sie ein Testfahrzeug erstellen und sicherstellen können, dass Ihre Tokens wie vorgesehen funktionieren
Informationen zur Verwendung von ADC anstelle von JWTs für Back-End-Servervorgänge finden Sie in der Sicherheitsübersicht.