您已經瞭解 Fleet Engine 中的帳戶角色和 JWT 相關基本概念, 可以查看這個部分瞭解驗證的基本流程 以及 Fleet Engine 中的授權作業
資安設計
Fleet Engine 的安全設計包含下列元素:
- 角色:
- IAM 角色會定義 呼叫。例如,系統允許 ondemandAdmin 或 deliveryAdmin 角色 執行任何動作,但 driverSdkUser 或 deliveryUntrustedDriver 角色只能執行最少的位置更新作業。
- IAM 角色與服務帳戶相關聯。
- 請求
- JWT 憑證附加資訊會進一步限制呼叫端可能在其中操作的實體。 可以是特定任務或運輸車輛。
- 傳送至 Fleet Engine 的要求一律包含 JWT。
- JWT 與服務帳戶相關聯,因此傳送至機群的要求數 引擎會間接連結至 JWT。
- 為了要求適當的 JWT,您可以將 JWT 傳遞至機群 在低信任環境中執行的程式碼,必須先呼叫 在完全受信任的環境中執行的程式碼
- Fleet Engine 進行的安全性檢查
- 與服務帳戶相關聯的 IAM 角色 ,以便呼叫呼叫端發出 API 呼叫。
- 透過要求傳遞的 JWT 憑證附加資訊可為 要在實體上運作的呼叫端。
用戶端應用程式驗證流程
以下序列圖表示範這些用戶端應用程式驗證流程 詳細資料。
- 機群系統管理員設定帳戶的方式如下:
- 建立服務帳戶
- 將特定 IAM 角色指派給服務帳戶
- 使用服務帳戶設定後端
- 用戶端應用程式從您的伺服器要求 JWT。要求者可能是 駕駛應用程式、消費者應用程式或監控應用程式
- Fleet Engine 會為各自的服務帳戶核發 JWT。
- 用戶端應用程式會執行以下作業:
- 接收 JWT
- 使用 JWT 連線至 Fleet Engine,以讀取或修改資料。 取決於在設定階段指派給服務帳戶的 IAM 角色
後續步驟
- 建立 Fleet Engine 專案。
- 瞭解如何從伺服器發出 JSON Web Token。