אסימוני אינטרנט JSON

אסימון JWT‏ (JSON Web Token) הוא תקן אינטרנט פתוח שמשמש לאימות ולאישור של חילופי מידע בין לקוח לשרת. כשמשתמש באפליקציה נכנס בפעם הראשונה באמצעות פרטי הכניסה המתאימים לתפקיד, השרת יוצר JWT מקודד עם חתימה דיגיטלית ומחזיר אותו לשימוש בבקשות הבאות. התהליך הזה מאמת את המשתמש ומאשר לו לגשת למסלולים, לשירותים ולמשאבים על סמך התפקיד שלו בחשבון.

ב-Fleet Engine נדרש שימוש בטוקנים של JSON Web‏ (JWT) לקריאות של שיטות API מסביבות עם רמת אמון נמוכה: סמארטפונים ודפדפנים.

אסימון JWT נוצר בשרת שלכם, נחתם, מוצפן ומועבר ללקוח לאינטראקציות הבאות עם השרת עד שהוא פג או עד שהוא כבר לא תקף.

פרטים חשובים

בניגוד למפתחות API, אסימוני JWT הם לזמן קצר ומגבילים את הפעולות רק לאלה שהתפקיד מורשה לבצע. למידע נוסף על אסימוני JWT, תוכלו לעיין במאמר JSON Web Tokens בוויקיפדיה. מידע מפורט על תפקידי גישה זמין במאמר תפקידים בחשבונות שירות במדריך הזה.

רכיבי JWT

אסימוני JWT מכילים כותרת וקטע הצהרה. קטע הכותרת מכיל מידע כמו המפתח הפרטי שהתקבל מחשבונות שירות, ואלגוריתם ההצפנה. הקטע של הטענה מכיל מידע כמו זמן היצירה של ה-JWT, משך החיים שלו, השירותים שלטענת ה-JWT יש גישה אליהם ומידע אחר על הרשאה להגדרת היקף הגישה. לדוגמה, מזהה רכב המשלוחים.

בטבלה הבאה מפורטים השדות של JWT באופן כללי, וגם מידע ספציפי על המקומות שבהם אפשר למצוא את הערכים של השדות האלה בפרויקט Fleet Engine Cloud.

שדות הכותרת של JWT

שדה

תיאור

alg

האלגוריתם שבו יש להשתמש. ‫`RS256`.

typ

סוג האסימון. ‫`JWT`.

ילד/ה

המזהה של המפתח הפרטי של חשבון השירות. אפשר למצוא את הערך הזה בשדה private_key_id בקובץ ה-JSON של חשבון השירות. חשוב להשתמש במפתח מחשבון שירות עם רמת ההרשאות הנכונה.
שדות של מידע מ-JWT

שדה

תיאור

iss

כתובת האימייל של חשבון השירות, שמופיעה בשדה client_email בקובץ ה-JSON של חשבון השירות.

sub

כתובת האימייל של חשבון השירות, שמופיעה בשדה client_email בקובץ ה-JSON של חשבון השירות.

aud

ערך המדד 'SERVICE_NAME' של חשבון השירות, במקרה הזה https://fleetengine.googleapis.com/

IAT

חותמת הזמן שבה נוצר ה-JWT, שמוגדרת בשניות שחלפו מאז 00:00:00 UTC, January 1, 1970. משאירים 10 דקות לשינוי הזווית. אם חותמת הזמן רחוקה מדי בעבר או בעתיד, יכול להיות שהשרת ידווח על שגיאה.

exp

חותמת הזמן שבה יפוג התוקף של ה-JWT, שצוינה בשניות שעברו מאז 00:00:00 UTC, January 1, 1970. הבקשה תיכשל אם חותמת הזמן תהיה יותר משעה בעתיד.

הרשאה

בהתאם לתרחיש השימוש, יכול להיות שהמאפיין יכיל את הערכים deliveryvehicleid, trackingid, taskid או taskids.

אם מציינים taskids, היקף ההרשאה צריך להיות מערך באחד מהפורמטים הבאים:

"taskids": ["task_id_one","task_id_two"]

או

"taskids": ["*"]

מידע מ-JWT ב-Fleet Engine

‫Fleet Engine משתמש בטענות פרטיות. שימוש בטענות פרטיות מבטיח שרק לקוחות מורשים יוכלו לגשת לנתונים שלהם.

לדוגמה, כששרת מנפיק אסימון JSON Web Token למכשיר נייד של נהג, הוא צריך להכיל את ההצהרה vehicleid או את ההצהרה deliveryvehicleid עם הערך של מזהה הרכב של הנהג. לאחר מכן, בהתאם לתפקיד הנהג, ה-JWT מאפשר גישה רק למזהה הרכב הספציפי ולא למזהה רכב שרירותי אחר.

‫Fleet Engine משתמש בהצהרות הפרטיות הבאות:

נסיעות על פי דרישה

  • vehicleid:
    • ה-Driver SDK תמיד משתמש בטענה הזו, בין אם הוא פועל בנסיעה או ברכב. הקצה העורפי של Fleet Engine מוודא שהרכב משויך לנסיעה המבוקשת לפני ביצוע השינוי.
    • קובץ ה-JWT יכול לכלול פעולות שקשורות לרכב ולנסיעה, גם אם הן לא נדרשות, מה שיכול לפשט את ההטמעה של חתימת ה-JWT.
  • tripid:
    • ה-SDK לצרכנים תמיד משתמש בטענה הזו.
    • ה-JWT יכול לכלול פעולות שקשורות לרכב ולנסיעה, גם אם זה לא נדרש, מה שיכול לפשט את ההטמעה של חתימת האסימון.

משימות מתוזמנות

  • deliveryvehicleid

    משתמשים בו כשקוראים לממשקי API של כלי רכב למשלוחים.

  • taskid

    משתמשים בו כשמפעילים ממשקי API לכל משימה.

  • taskids

    שימוש ב-BatchCreateTasksAPI לשיחות. התביעה הזו צריכה להיות בפורמט של מערך, והמערך צריך לכלול את כל מזהי המשימות שנדרשים להשלמת הבקשה. אסור לכלול טענות לגבי delivervehicleid, trackingid או taskid.

  • trackingid

    כדאי להשתמש בקידומת הזו כשמתקשרים למספר GetTaskTrackingInfoAPI. מספר המעקב שמופיע בבקשה חייב להיות זהה למספר המעקב שמופיע בתלונה. אסור לכלול טענות לגבי delivervehicleid, taskid או taskids.

המאמרים הבאים