ตอนนี้คุณได้อ่านข้อมูลเบื้องต้นเกี่ยวกับบทบาทบัญชีและ JWT ใน Fleet Engine แล้ว สามารถอ่านข้อมูลส่วนนี้เพื่อทำความเข้าใจขั้นตอนพื้นฐานของการตรวจสอบสิทธิ์ การดำเนินการให้สิทธิ์ใน Fleet Engine
การออกแบบการรักษาความปลอดภัย
การออกแบบความปลอดภัยของ Fleet Engine ประกอบด้วยองค์ประกอบต่อไปนี้
- บทบาท:
- บทบาท IAM จะกำหนดขอบเขตของกิจกรรมที่อนุญาตสำหรับ ของผู้โทร ตัวอย่างเช่น อนุญาตให้ใช้บทบาท ondemandAdmin หรือ deliveryAdmin ให้ทำงานทุกอย่าง ในขณะที่ driverSdkUser หรือ บทบาท deliveryUntrustedDriver อาจอัปเดตตำแหน่งเพียงเล็กน้อยเท่านั้น
- บทบาท IAM เชื่อมโยงกับบัญชีบริการ
- คำขอ
- JWT อ้างว่าจะจำกัดบุคคลที่ผู้โทรอาจดำเนินการเพิ่มเติม ซึ่งอาจเป็นงานที่เฉพาะเจาะจงหรือยานพาหนะส่งของก็ได้
- คำขอที่ส่งไปยัง Fleet Engine จะมี JWT เสมอ
- เนื่องจาก JWT เชื่อมโยงกับบัญชีบริการ คำขอจึงส่งไปยัง Fleet เครื่องมือค้นหาเชื่อมโยงกับบัญชีบริการที่เชื่อมโยงกับบัญชีบริการโดยปริยาย JWT
- เพื่อขอ JWT ที่เหมาะสม ซึ่งคุณสามารถส่งผ่านไปยัง Fleet ได้ Engine โค้ดของคุณที่ทำงานในสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำจะต้องเรียกใช้ โค้ดที่ทำงานในสภาพแวดล้อมที่เชื่อถือได้อย่างสมบูรณ์
- การตรวจสอบความปลอดภัยโดย Fleet Engine
- บทบาท IAM ที่เชื่อมโยงกับบัญชีบริการจะให้ข้อมูลที่ถูกต้อง การให้สิทธิ์สำหรับการเรียก API
- การอ้างสิทธิ์ของ JWT ที่ส่งในคำขอแสดงการให้สิทธิ์ที่ถูกต้องสำหรับ ผู้ขอให้ดําเนินการในเอนทิตีนั้นๆ
ขั้นตอนการตรวจสอบสิทธิ์แอปไคลเอ็นต์
แผนภาพลำดับต่อไปนี้แสดงขั้นตอนการตรวจสอบสิทธิ์แอปไคลเอ็นต์เหล่านี้ รายละเอียด
- ผู้ดูแลระบบของกลุ่มรถยนต์เป็นผู้ตั้งค่าบัญชีดังนี้
- สร้างบัญชีบริการ
- มอบหมายบทบาท IAM ที่เจาะจงให้กับบัญชีบริการ
- กำหนดค่าแบ็กเอนด์ด้วยบัญชีบริการ
- แอปไคลเอ็นต์ขอ JWT จากเซิร์ฟเวอร์ของคุณ ผู้ขออาจเป็น แอปไดรเวอร์ แอปสำหรับผู้บริโภค หรือแอปตรวจสอบ
- Fleet Engine ออก JWT สำหรับบัญชีบริการที่เกี่ยวข้อง
- แอปไคลเอ็นต์จะดำเนินการต่อไปนี้
- ได้รับ JWT
- ใช้ JWT เพื่อเชื่อมต่อกับ Fleet Engine เพื่ออ่านหรือแก้ไขข้อมูล ขึ้นอยู่กับบทบาท IAM ที่กำหนดให้กับในระหว่างขั้นตอนการตั้งค่า
ขั้นตอนถัดไป
- สร้างโปรเจ็กต์ Fleet Engine
- ดูวิธีออกโทเค็นเว็บ JSON จากเซิร์ฟเวอร์ของคุณ