फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के अपडेट

फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई को Chrome 108 में शिप किया गया है. हालांकि, इसमें लगातार सुधार होते रहने की उम्मीद है. नुकसान पहुंचाने वाले किसी भी बदलाव की योजना नहीं है.

ये अपडेट किसके लिए हैं?

ये अपडेट आपके लिए हैं, अगर:

  • आप आईडीपी (IdP) के तौर पर, फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल करते हैं.
  • आप एक आईडीपी या आरपी हैं और आपको एपीआई का इस्तेमाल करना है, ताकि वह आपके इस्तेमाल के उदाहरण के हिसाब से सही हो. उदाहरण के लिए, आपने FedID CG डेटा स्टोर करने की जगह पर हुई बातचीत देखी है या आपको एपीआई में किए गए बदलावों के बारे में जानना है.
  • आप एक ब्राउज़र वेंडर हैं और आपको एपीआई को लागू करने की स्थिति के बारे में जानना है.

अगर आपने इस एपीआई का इस्तेमाल पहले नहीं किया है या आपने अब तक इसे इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी पढ़ें.

बदलावों का लॉग

FedCM API में हुए बदलावों के बारे में अप-टू-डेट रहने के लिए, हमारा ब्लॉग या न्यूज़लेटर देखें.

Chrome 125 (अप्रैल 2024)

Chrome 123 (फ़रवरी 2024)

  • डोमेन हिंट एपीआई के लिए सहायता जोड़ी गई. डोमेन हिंट एपीआई की मदद से आरपी, FedCM API कॉल पर domainHint प्रॉपर्टी तय कर सकती है, ताकि उपयोगकर्ता से सिर्फ़ मिलते-जुलते खाते दिखाए जा सकें.

Chrome 122 (जनवरी 2024)

  • डिसकनेक्ट एपीआई के लिए सहायता जोड़ी गई. डिसकनेक्ट एपीआई की मदद से, आरपी अपने उपयोगकर्ताओं को आईडीपी खाते से डिसकनेक्ट कर सकते हैं. इसके लिए, उन्हें तीसरे पक्ष की कुकी के भरोसे नहीं रहना पड़ता.
  • जब आरपी और आईडीपी, एक ही साइट पर हों, तो जांच करना /.well-known/web-identity स्किप किया जाता है.
  • सबरिसॉर्स अब एक ही साइट के लिए लॉगिन की स्थिति सेट कर सकते हैं.

Chrome 121 (दिसंबर 2023)

  • FedCM के अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने के लिए आसान शर्त:
    • FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आता है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र इंस्टेंस पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन करना होगा. शुरुआत में यह शर्त, ट्रैकर को आइडेंटिटी प्रोवाइडर (आईडीपी) के तौर पर पेश करने और ब्राउज़र को धोखे से किसी उपयोगकर्ता की जानकारी या सहमति के बिना अपने-आप फिर से पुष्टि कराने के जोखिम को कम करने के लिए शुरू की गई थी. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता फ़ायदे की गारंटी नहीं दे सकता. FedCM को तीसरे पक्ष की कुकी के ज़रिए मिलने वाली सुविधाओं का सिर्फ़ एक सबसेट दिया जाता है. इसलिए, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट से जुड़ी तीसरे पक्ष की कुकी का ऐक्सेस पहले से है, तो FedCM को ऐक्सेस करने पर निजता को कोई अतिरिक्त खतरा नहीं होता.
      तीसरे पक्ष की कुकी सही तरीके से इस्तेमाल की जाती हैं और इस शर्त को कम करने से उपयोगकर्ता अनुभव बेहतर होगा. इसलिए, यह बदलाव Chrome 121 से बदल रहा है. किसी उपयोगकर्ता को वापस आने वाला मानकर, हमने इस शर्त पर लगी पाबंदी में ढील देने का फ़ैसला किया है: अगर आरपी कॉन्टेक्स्ट में, आईडीपी (IdP) के लिए तीसरे पक्ष की कुकी उपलब्ध हैं, तो Chrome, approved_clients सूची में दी गई उपयोगकर्ता के खाते की स्थिति के बारे में आईडीपी के दावे पर भरोसा करेगा. साथ ही, ज़रूरत पड़ने पर, अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर करेगा. तीसरे पक्ष की कुकी इनके ज़रिए उपलब्ध हो सकती हैं: उपयोगकर्ता सेटिंग, एंटरप्राइज़ नीतियां, अनुभव (Safari, Firefox, Chrome) और दूसरे वेब प्लैटफ़ॉर्म एपीआई (जैसे कि Storage Access API). ध्यान दें कि आने वाले समय में जब आईडीपी (IdP) तीसरे पक्ष की कुकी का ऐक्सेस खो देगा, तो अगर किसी उपयोगकर्ता ने पहले कभी भी FedCM यूज़र इंटरफ़ेस (यूआई) पर साफ़ तौर पर अनुमति नहीं दी है (उदाहरण के लिए, इस रूप में जारी रखें बटन पर क्लिक करना), तब भी उसे नया उपयोगकर्ता माना जाएगा.
      इसके लिए, डेवलपर को कोई कार्रवाई करने की ज़रूरत नहीं है. ध्यान दें कि इस बदलाव से, अपने-आप फिर से पुष्टि करने की प्रोसेस ज़्यादा ट्रिगर हो सकती है. ऐसा तब हो सकता है, जब आईडीपी (IdP) के पास तीसरे पक्ष की कुकी का ऐक्सेस हो और यह दावा किया गया हो कि उपयोगकर्ता ने आरपी पर पहले ही खाता बनाया है.

Chrome 120 (नवंबर 2023)

  • Chrome 120 की इन तीन सुविधाओं के लिए अतिरिक्त सहायता जोड़ी गई:
    • Login Status API: Login Status एपीआई एक ऐसा सिस्टम है जिसमें कोई वेबसाइट, खास तौर पर एक आईडीपी (IdP) ब्राउज़र को उसके उपयोगकर्ता के लॉगिन स्टेटस के बारे में जानकारी देता है. इस एपीआई की मदद से ब्राउज़र, आईडीपी (IdP) पर आने वाले ग़ैर-ज़रूरी अनुरोधों को कम कर सकता है. साथ ही, संभावित टाइमिंग अटैक को कम कर सकता है. FedCM के लिए लॉगिन स्थिति एपीआई एक ज़रूरी शर्त है. इस बदलाव के साथ ही, तीसरे पक्ष की कुकी के ब्लॉक होने पर, FedCM को चालू करने के लिए अब chrome://flags/#fedcm-without-third-party-cookies फ़्लैग की ज़रूरत नहीं होगी.
    • Error API: गड़बड़ी वाला एपीआई, उपयोगकर्ता को ब्राउज़र का यूज़र इंटरफ़ेस दिखाता है. इस यूज़र इंटरफ़ेस (यूआई) में, आईडीपी (IdP) से मिली गड़बड़ी की जानकारी दिखती है.
    • अपने-आप चुना गया फ़्लैग एपीआई: अपने-आप चुना गया फ़्लैग एपीआई: इससे यह पता चलता है कि आईडीपी (IdP) और आरपी, दोनों के साथ इस रूप में जारी रखें बटन पर टैप करके, साफ़ तौर पर उपयोगकर्ता की अनुमति ली गई है या नहीं. ऐसा तब होता है, जब अपने-आप फिर से पुष्टि होने की समस्या हुई हो या किसी अन्य मीडिएशन की समस्या हुई हो. शेयर करने की प्रोसेस, आईडीपी और आरपी कम्यूनिकेशन के लिए उपयोगकर्ता की अनुमति मिलने के बाद ही होती है.

Chrome 117 (सितंबर 2023)

Chrome 116 (अगस्त 2023)

  • Chrome 116 की इन तीन सुविधाओं के लिए अतिरिक्त सहायता जोड़ी गई:
    • लॉगिन संकेत एपीआई: साइन इन करने के लिए पसंदीदा उपयोगकर्ता खाता तय करें.
    • उपयोगकर्ता की जानकारी का एपीआई: लौटने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (आईडीपी) किसी iframe में, ज़रूरत के हिसाब से साइन-इन करने का बटन रेंडर कर सके.
    • RP Context API: FedCM डायलॉग में 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें.
  • आईडीपी (IdP) के लिए साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल की सुविधा उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह पर जाएं.

Chrome 115 (जून 2023)

  • अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई. इससे, FedCM का इस्तेमाल करके शुरुआती पुष्टि करने के बाद, जब उपयोगकर्ता वापस आते हैं, तो उनकी फिर से पुष्टि अपने-आप हो जाती है. इससे उपयोगकर्ता अनुभव बेहतर होता है. साथ ही, उपयोगकर्ता की सहमति के बाद, आरपी की फिर से पुष्टि करने की प्रोसेस बेहतर होती है. FedCM के अपने-आप फिर से पुष्टि करने की सुविधा के बारे में ज़्यादा जानें.

Chrome 110 (फ़रवरी 2023)

  • आईडी दावे के एंडपॉइंट के लिए, आईडीपी को Referer हेडर के बजाय Origin हेडर की जांच करनी होगी, ताकि यह देखा जा सके कि वैल्यू, Client-ID की ऑरिजिन से मेल खाती है या नहीं.
  • FedCM के लिए, क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. एम्बेडर को अनुमतियों-नीति identity-credentials-get के बारे में बताना चाहिए, ताकि एम्बेड किए गए क्रॉस-ऑरिजिन iframe में FedCM API को अनुमति दी जा सके. क्रॉस-ऑरिजिन iframe का उदाहरण देखें.
  • नया Chrome फ़्लैग chrome://flags/#fedcm-without-third-party-cookies जोड़ा गया. इस फ़्लैग की मदद से, तीसरे पक्ष की कुकी को ब्लॉक करके, Chrome में FedCM के फ़ंक्शन की जांच की जा सकती है. FedCM के दस्तावेज़ से ज़्यादा जानें.

Chrome 108 (अक्टूबर 2022)

  • "टॉप-लेवल मेनिफ़ेस्ट" को अब दस्तावेज़ में "लोकप्रिय फ़ाइल" कहा जाता है. लागू करने के तरीके में किसी भी तरह के बदलाव की ज़रूरत नहीं है.
  • "आईडीपी मेनिफ़ेस्ट" को अब दस्तावेज़ में "कॉन्फ़िगरेशन फ़ाइल" कहा जाता है. लागू करने के तरीके में किसी भी बदलाव की ज़रूरत नहीं है.
  • "कॉन्फ़िगरेशन फ़ाइल" में id_token_endpoint का नाम बदलकर id_assertion_endpoint कर दिया गया है.
  • आईडीपी (IdP) के अनुरोधों में अब Sec-FedCM-CSRF: ?1 हेडर के बजाय, Sec-Fetch-Dest: webidentity हेडर शामिल किया जाता है.

Chrome 105 (अगस्त 2022)

  • दस्तावेज़ में सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई. आइडेंटिटी प्रोवाइडर (आईडीपी) को यह जांच करनी होगी कि Referer हेडर, आईडी टोकन एंडपॉइंट पर पहले से रजिस्टर की गई आरपी की ऑरिजिन से मेल खाता है या नहीं.
  • टॉप लेवल मेनिफ़ेस्ट का नाम /.well-known/fedcm.json से बदलकर /.well-known/web-identity कर दिया गया है. साथ ही, provider_urls में दिए गए यूआरएल में फ़ाइल का नाम शामिल होना चाहिए.
  • FederatedCredential इंस्टेंस पर login(), logout(), और revoke() तरीके अब उपलब्ध नहीं हैं.
  • फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई, अब FederatedCredential के बजाय एक नए टाइप IdentityCredential का इस्तेमाल करता है. इसका इस्तेमाल सुविधा की पहचान करने के लिए किया जा सकता है, लेकिन यह काफ़ी बड़ा बदलाव है.
  • लॉगिन करने के तरीके को navigator.credentials.get() और FederatedCredential.prototype.login() के कॉम्बिनेशन से बदलकर navigator.credentials.get() करें.
  • मेनिफ़ेस्ट में रद्द करने का एंडपॉइंट अब काम नहीं करता है.
  • navigator.credentials.get() कॉल के लिए, federated फ़ील्ड के बजाय identity फ़ील्ड का इस्तेमाल करें.
  • url अब configURL है और यह navigator.credentials.get() कॉल के पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए.
  • nonce अब navigator.credentials.get() के लिए एक वैकल्पिक पैरामीटर है.
  • hint अब navigator.credentials.get() के विकल्प के तौर पर उपलब्ध नहीं है.
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (जून 2022)

Chrome 103 (मई 2022)

  • डेस्कटॉप एनवायरमेंट के साथ काम करता है.
  • डेस्कटॉप पर हर आरपी सेटिंग के साथ काम करता है.
  • क्लाइंट मेटाडेटा का एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल भी देना ज़रूरी नहीं है.
  • दस्तावेज़ में, सीएसपी connect-src का इस्तेमाल करने के बारे में एक चेतावनी जोड़ी गई.

संसाधन