ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই ক্রোম 108 এ পাঠানো হয়েছে তবে এটি বিকশিত হতে থাকবে বলে আশা করা হচ্ছে। কোন ব্রেকিং পরিবর্তন পরিকল্পিত আছে.
এই আপডেট কার জন্য?
এই আপডেটগুলি আপনার জন্য যদি:
- আপনি ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API ব্যবহার করে একজন আইডিপি।
- আপনি একজন আইডিপি বা আরপি এবং আপনার ব্যবহারের ক্ষেত্রে উপযুক্ত করার জন্য API প্রসারিত করতে আগ্রহী - যেমন আপনি FedID CG সংগ্রহস্থলের আলোচনাগুলি পর্যবেক্ষণ করছেন বা অংশগ্রহণ করছেন এবং API-তে করা পরিবর্তনগুলি বুঝতে চান।
- আপনি একজন ব্রাউজার বিক্রেতা এবং আপনি API-এর বাস্তবায়নের অবস্থা জানতে চান।
আপনি যদি এই API-এ নতুন হন বা এটি নিয়ে এখনও পরীক্ষা না করে থাকেন, তাহলে ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API-এর ভূমিকা পড়ুন।
চেঞ্জলগ
FedCM API পরিবর্তন সম্পর্কে আপডেট থাকতে, আমাদের ব্লগ বা নিউজলেটার দেখুন।
Chrome 131 (অক্টোবর 2024)
- স্টোরেজ অ্যাক্সেস API এখন FedCM ব্যবহার করে বিশ্বাস সংকেত হিসেবে।
- যদি কোনও ব্যবহারকারী FedCM-এর সাথে প্রমাণীকরণ করে, RP অপ্ট-ইন করে, IdP এম্বেড
requestStorageAccess()
পদ্ধতিতে কল করতে পারে যাতে কোনও অতিরিক্ত ব্যবহারকারীর প্রম্পটের প্রয়োজন ছাড়াই স্বয়ংক্রিয়ভাবে নিজস্ব শীর্ষ-স্তরের কুকিগুলিতে স্টোরেজ অ্যাক্সেস পেতে পারে ।
- যদি কোনও ব্যবহারকারী FedCM-এর সাথে প্রমাণীকরণ করে, RP অপ্ট-ইন করে, IdP এম্বেড
Chrome 125 (এপ্রিল 2024)
- যেহেতু স্পেকটি "অ্যাকাউন্ট লিস্ট এন্ডপয়েন্ট" এর নাম "অ্যাকাউন্ট এন্ডপয়েন্ট" এ আপডেট করেছে, তাই আমাদের ডকুমেন্টেশন সেই অনুযায়ী সারিবদ্ধ করা হয়েছে।
- বোতাম মোড API-এর জন্য অরিজিন ট্রায়াল Chrome ডেস্কটপ 125-এ উপলব্ধ ৷ FedCM আপডেটগুলিতে এটি সম্পর্কে আরও জানুন: বোতাম মোড API অরিজিন ট্রায়াল, CORS এবং একইসাইট ৷
- ক্রোম 125 থেকে শুরু করে আইডি অ্যাসারশন এন্ডপয়েন্টে CORS প্রয়োগ করা হয়।
- Chrome 125 থেকে শুরু করে আইডি অ্যাসারশন এন্ডপয়েন্ট এবং অ্যাকাউন্টের এন্ডপয়েন্টে শুধুমাত্র
SameSite=None
হিসেবে চিহ্নিত কুকি পাঠাবে।
Chrome 123 (ফেব্রুয়ারি 2024)
- ডোমেন ইঙ্গিত API এর জন্য সমর্থন যোগ করা হয়েছে। ডোমেন হিন্ট এপিআই RP-কে একটি FedCM API কলে একটি
domainHint
প্রপার্টি নির্দিষ্ট করতে দেয় যাতে ব্যবহারকারীর জন্য শুধুমাত্র মিলে যাওয়া অ্যাকাউন্ট দেখা যায়।
Chrome 122 (জানুয়ারি 2024)
- সংযোগ বিচ্ছিন্ন API এর জন্য সমর্থন যোগ করা হয়েছে। সংযোগ বিচ্ছিন্ন API তৃতীয় পক্ষের কুকির উপর নির্ভর না করে RPsকে তাদের ব্যবহারকারীদের IdP-এর অ্যাকাউন্ট থেকে সংযোগ বিচ্ছিন্ন করতে দেয়।
- RP এবং IdP একই-সাইট হলে
/.well-known/web-identity
চেক করা এখন এড়িয়ে যায়। - সাবরিসোর্স এখন একই-সাইট লগইন স্ট্যাটাস সেট করতে পারে।
Chrome 121 (ডিসেম্বর 2023)
- FedCM স্বয়ংক্রিয়-পুনঃপ্রমাণিকেশন ট্রিগার করার জন্য শিথিল শর্ত:
- FedCM-এ স্বয়ংক্রিয়-পুনঃপ্রমাণকরণ বৈশিষ্ট্যটি শুধুমাত্র তখনই ট্রিগার হয় যখন ব্যবহারকারী ফিরে আসে। এর মানে স্বয়ংক্রিয়-রিউথন ট্রিগার হওয়ার আগে ব্যবহারকারীকে প্রতিটি ব্রাউজারে একবার FedCM ব্যবহার করে RP-এ সাইন ইন করতে হবে। এই শর্তটি প্রাথমিকভাবে ট্র্যাকারদের একটি পরিচয় প্রদানকারী (আইডিপি) হওয়ার ভান করে এবং ব্যবহারকারীকে তাদের জ্ঞান বা চুক্তি ছাড়াই স্বয়ংক্রিয়-পুনঃপ্রমাণিত করার জন্য ব্রাউজারকে প্রতারণা করার ঝুঁকি কমানোর জন্য চালু করা হয়েছিল। যাইহোক, এই ডিজাইন গোপনীয়তার সুবিধার গ্যারান্টি দিতে পারে না যদি ট্র্যাকারের RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে। FedCM শুধুমাত্র তৃতীয় পক্ষের কুকির মাধ্যমে সম্ভাব্য ক্ষমতার একটি উপসেট প্রদান করে, তাই যদি ট্র্যাকারের ইতিমধ্যেই RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে, FedCM-এ অ্যাক্সেস কোনো অতিরিক্ত গোপনীয়তার ঝুঁকি উপস্থাপন করে না।
যেহেতু থার্ড-পার্টি কুকিজের বৈধ ব্যবহার রয়েছে এবং শর্ত শিথিল করা হলে UX উন্নত হবে, এই আচরণটি Chrome 121 থেকে পরিবর্তিত হচ্ছে। আমরা একজন ব্যবহারকারীকে ফিরে আসা হিসাবে বিবেচনা করার শর্তের সীমাবদ্ধতা শিথিল করার সিদ্ধান্ত নিয়েছি: যদি তৃতীয় পক্ষের কুকিজ হয় RP প্রসঙ্গে আইডিপি-তে উপলব্ধ, Chromeapproved_clients
তালিকার মাধ্যমে নির্দিষ্ট করা ব্যবহারকারীর অ্যাকাউন্টের অবস্থা সম্পর্কে IdP-এর দাবিকে বিশ্বাস করবে এবং স্বয়ংক্রিয়ভাবে পুনরায় প্রমাণীকরণ ট্রিগার করবে যদি প্রযোজ্য হয়। তৃতীয় পক্ষের কুকি এর মাধ্যমে উপলব্ধ হতে পারে: ব্যবহারকারীর সেটিংস, এন্টারপ্রাইজ নীতি, হিউরিস্টিকস ( Safari , Firefox , Chrome ) এবং অন্যান্য ওয়েব প্ল্যাটফর্ম API (যেমন স্টোরেজ অ্যাক্সেস API )। মনে রাখবেন যে যখন IdP ভবিষ্যতে তৃতীয় পক্ষের কুকিজ অ্যাক্সেস হারায়, যদি কোনও ব্যবহারকারী আগে কখনও FedCM UI-তে স্পষ্টভাবে অনুমতি না দেয় (উদাহরণস্বরূপ, অবিরত বোতামে ক্লিক করা), তখনও তারা নতুন ব্যবহারকারী হিসাবে বিবেচিত হবে।
কোন বিকাশকারী কর্মের প্রয়োজন নেই. মনে রাখবেন যে আইডিপি-তে তৃতীয় পক্ষের কুকিজ অ্যাক্সেস থাকলে এবং ব্যবহারকারী অতীতে RP-এ একটি অ্যাকাউন্ট তৈরি করেছেন বলে দাবি করলে এই পরিবর্তনের সাথে অটো-রিউথন প্রবাহ আরও ট্রিগার হতে পারে।
- FedCM-এ স্বয়ংক্রিয়-পুনঃপ্রমাণকরণ বৈশিষ্ট্যটি শুধুমাত্র তখনই ট্রিগার হয় যখন ব্যবহারকারী ফিরে আসে। এর মানে স্বয়ংক্রিয়-রিউথন ট্রিগার হওয়ার আগে ব্যবহারকারীকে প্রতিটি ব্রাউজারে একবার FedCM ব্যবহার করে RP-এ সাইন ইন করতে হবে। এই শর্তটি প্রাথমিকভাবে ট্র্যাকারদের একটি পরিচয় প্রদানকারী (আইডিপি) হওয়ার ভান করে এবং ব্যবহারকারীকে তাদের জ্ঞান বা চুক্তি ছাড়াই স্বয়ংক্রিয়-পুনঃপ্রমাণিত করার জন্য ব্রাউজারকে প্রতারণা করার ঝুঁকি কমানোর জন্য চালু করা হয়েছিল। যাইহোক, এই ডিজাইন গোপনীয়তার সুবিধার গ্যারান্টি দিতে পারে না যদি ট্র্যাকারের RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে। FedCM শুধুমাত্র তৃতীয় পক্ষের কুকির মাধ্যমে সম্ভাব্য ক্ষমতার একটি উপসেট প্রদান করে, তাই যদি ট্র্যাকারের ইতিমধ্যেই RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে, FedCM-এ অ্যাক্সেস কোনো অতিরিক্ত গোপনীয়তার ঝুঁকি উপস্থাপন করে না।
Chrome 120 (নভেম্বর 2023)
- Chrome 120-এ নিম্নলিখিত তিনটি বৈশিষ্ট্যের জন্য সমর্থন যোগ করা হয়েছে:
- লগইন স্ট্যাটাস এপিআই : লগইন স্ট্যাটাস এপিআই হল একটি মেকানিজম যেখানে একটি ওয়েবসাইট, বিশেষ করে একটি আইডিপি, ব্রাউজারকে তার ব্যবহারকারীর লগইন স্ট্যাটাস জানায়। এই API এর সাহায্যে, ব্রাউজারটি আইডিপিতে অপ্রয়োজনীয় অনুরোধগুলি কমাতে পারে এবং সম্ভাব্য টাইমিং আক্রমণগুলি হ্রাস করতে পারে। লগইন স্থিতি API FedCM এর জন্য একটি প্রয়োজনীয়তা। এই পরিবর্তনের সাথে, তৃতীয় পক্ষের কুকি ব্লক করা হলে
chrome://flags/#fedcm-without-third-party-cookies
পতাকার আর FedCM সক্ষম করার প্রয়োজন নেই৷ - ত্রুটি API : ত্রুটি API আইডিপি দ্বারা প্রদত্ত ত্রুটির তথ্য সহ একটি ব্রাউজার UI দেখিয়ে ব্যবহারকারীকে অবহিত করে।
- স্বতঃ-নির্বাচিত পতাকা API : স্বতঃ-নির্বাচিত ফ্ল্যাগ API শেয়ার করে যে যখনই স্বতঃ-রিউথন ঘটেছে বা একটি সুস্পষ্ট মধ্যস্থতা ঘটেছে তখন IdP এবং RP উভয়ের সাথে Continue as বোতামে ট্যাপ করার মাধ্যমে একটি স্পষ্ট ব্যবহারকারীর অনুমতি নেওয়া হয়েছে কিনা। আইডিপি এবং আরপি যোগাযোগের জন্য ব্যবহারকারীর অনুমতি মঞ্জুর করার পরেই শেয়ার করা হয়।
- লগইন স্ট্যাটাস এপিআই : লগইন স্ট্যাটাস এপিআই হল একটি মেকানিজম যেখানে একটি ওয়েবসাইট, বিশেষ করে একটি আইডিপি, ব্রাউজারকে তার ব্যবহারকারীর লগইন স্ট্যাটাস জানায়। এই API এর সাহায্যে, ব্রাউজারটি আইডিপিতে অপ্রয়োজনীয় অনুরোধগুলি কমাতে পারে এবং সম্ভাব্য টাইমিং আক্রমণগুলি হ্রাস করতে পারে। লগইন স্থিতি API FedCM এর জন্য একটি প্রয়োজনীয়তা। এই পরিবর্তনের সাথে, তৃতীয় পক্ষের কুকি ব্লক করা হলে
Chrome 117 (সেপ্টেম্বর 2023)
- আইডিপি সাইন-ইন স্ট্যাটাস এপিআই-এর জন্য অরিজিন ট্রায়াল ক্রোম 117 থেকে অ্যান্ড্রয়েডে উপলব্ধ । FedCM আপডেটে এটি সম্পর্কে আরও জানুন: আইডিপি সাইন-ইন স্ট্যাটাস API, লগইন ইঙ্গিত এবং আরও অনেক কিছু।
Chrome 116 (আগস্ট 2023)
- Chrome 116-এ নিম্নলিখিত তিনটি বৈশিষ্ট্যের জন্য সমর্থন যোগ করা হয়েছে:
- লগইন ইঙ্গিত API : সাইন ইন করার জন্য একটি পছন্দের ব্যবহারকারীর অ্যাকাউন্ট নির্দিষ্ট করুন৷
- ব্যবহারকারীর তথ্য API : ফিরে আসা ব্যবহারকারীর তথ্য আনুন যাতে পরিচয় প্রদানকারী (আইডিপি) একটি আইফ্রেমের মধ্যে একটি ব্যক্তিগতকৃত সাইন-ইন বোতাম রেন্ডার করতে পারে৷
- RP প্রসঙ্গ API : FedCM ডায়ালগে 'সাইন ইন' থেকে ভিন্ন একটি শিরোনাম ব্যবহার করুন।
- আইডিপি সাইন-ইন স্ট্যাটাস API-এর জন্য অরিজিন ট্রায়াল উপলব্ধ। FedCM আপডেটগুলিতে এটি সম্পর্কে আরও জানুন: IdP সাইন-ইন স্ট্যাটাস API, লগইন ইঙ্গিত এবং আরও অনেক কিছু।
Chrome 115 (জুন 2023)
- স্বয়ংক্রিয়-পুনঃপ্রমাণকরণের জন্য সমর্থন যোগ করা হয়েছে যা ব্যবহারকারীদের FedCM ব্যবহার করে প্রাথমিক প্রমাণীকরণের পরে ফিরে আসার পরে স্বয়ংক্রিয়ভাবে পুনরায় প্রমাণীকরণ করতে দেয়। এটি ব্যবহারকারীর অভিজ্ঞতা উন্নত করে এবং প্রাথমিক প্রমাণীকরণের পরে RP-তে আরও সুগমিত পুনঃপ্রমাণ সক্ষম করে। FedCM স্বয়ংক্রিয়-পুনঃপ্রমাণকরণ সম্পর্কে আরও জানুন।
Chrome 110 (ফেব্রুয়ারি 2023)
- আইডি অ্যাসারশন এন্ডপয়েন্টের জন্য, আইডিপিগুলিকে
Origin
শিরোনামটি পরীক্ষা করতে হবে (Referer
হেডারের পরিবর্তে) মানটি ক্লায়েন্ট আইডির মূলের সাথে মেলে কিনা। - FedCM-এর জন্য ক্রস-অরিজিন iframe সমর্থন এখন উপলব্ধ। এমবেডারের উচিত অনুমতি-নীতি
identity-credentials-get
। আপনি ক্রস-অরিজিন আইফ্রেমের একটি উদাহরণ দেখতে পারেন। - একটি নতুন Chrome পতাকা যোগ করা হয়েছে
chrome://flags/#fedcm-without-third-party-cookies
৷ এই পতাকা দিয়ে, আপনি তৃতীয় পক্ষের কুকি ব্লক করে Chrome-এ FedCM কার্যকারিতা পরীক্ষা করতে পারেন। FedCM ডকুমেন্টেশন থেকে আরও জানুন।
Chrome 108 (অক্টোবর 2022)
- "টপ-লেভেল ম্যানিফেস্ট" কে এখন নথিতে "সুপরিচিত ফাইল" বলা হয়৷ কোন বাস্তবায়ন পরিবর্তন প্রয়োজন নেই.
- "আইডিপি ম্যানিফেস্ট" কে এখন নথিতে "কনফিগ ফাইল" বলা হয়। কোন বাস্তবায়ন পরিবর্তন প্রয়োজন নেই.
- "কনফিগ ফাইল"-এর
id_token_endpoint
এর নাম পরিবর্তন করেid_assertion_endpoint
করা হয়েছে। - IdP-এর অনুরোধে এখন
Sec-FedCM-CSRF: ?1
শিরোনামের পরিবর্তে একটিSec-Fetch-Dest: webidentity
হেডার অন্তর্ভুক্ত রয়েছে।
Chrome 105 (আগস্ট 2022)
- নথিতে গুরুত্বপূর্ণ নিরাপত্তা তথ্য যোগ করা হয়েছে। আইডি টোকেন এন্ডপয়েন্টে আগে থেকে রেজিস্টার করা RP-এর সাথে
Referer
হেডার মেলে কিনা তা আইডেন্টিটি প্রোভাইডারকে (আইডিপি) দেখতে হবে। - শীর্ষ-স্তরের ম্যানিফেস্টের নাম পরিবর্তন করে
/.well-known/fedcm.json
থেকে/.well-known/web-identity
করা হয়েছে এবংprovider_urls
এ উল্লেখিত URL-এ ফাইলের নাম অন্তর্ভুক্ত করা উচিত। -
FederatedCredential
দৃষ্টান্তগুলিতেlogin()
,logout()
এবংrevoke()
পদ্ধতিগুলি আর উপলব্ধ নেই৷ - ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API এখন
FederatedCredential
পরিবর্তে একটি নতুন ধরনেরIdentityCredential
ব্যবহার করে। এটি বৈশিষ্ট্য সনাক্তকরণের জন্য ব্যবহার করা যেতে পারে তবে অন্যথায় এটি একটি বড় অদৃশ্য পরিবর্তন। -
navigator.credentials.get()
এবংFederatedCredential.prototype.login()
এর সমন্বয় থেকেnavigator.credentials.get()
এ লগইন কার্যকারিতা সরান। - ম্যানিফেস্টে প্রত্যাহার শেষবিন্দু আর কার্যকর নেই৷
-
navigator.credentials.get()
কলের জন্যfederated
ফিল্ডের পরিবর্তে একটিidentity
ক্ষেত্র ব্যবহার করুন। -
url
এখনconfigURL
এবং একটিnavigator.credentials.get()
কলের পাথের পরিবর্তে ম্যানিফেস্ট JSON ফাইলের জন্য সম্পূর্ণ URL হতে হবে। -
nonce
এখনnavigator.credentials.get()
এর জন্য একটি ঐচ্ছিক প্যারামিটার। -
navigator.credentials.get()
এর বিকল্প হিসাবেhint
আর উপলব্ধ নেই।
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (জুন 2022)
- আইডি টোকেন এন্ডপয়েন্টে পাঠানো
consent_acquired
প্যারামিটার এখনdisclosure_text_shown
। মান অপরিবর্তিত। - আইডিপি ম্যানিফেস্টে ব্র্যান্ডিং আইকনগুলি SVG ছবিগুলিকে সমর্থন করা বন্ধ করে দিয়েছে, কিন্তু RP-এর বিষয়বস্তু সুরক্ষা নীতি দ্বারা আর অনুমতি দেওয়ার প্রয়োজন নেই৷
Chrome 103 (মে 2022)
- ডেস্কটপ পরিবেশ সমর্থন করে।
- ডেস্কটপে প্রতি-RP সেটিংস সমর্থন করে।
- ক্লায়েন্ট মেটাডেটা এন্ডপয়েন্ট এখন ঐচ্ছিক। এই শেষবিন্দুতে, গোপনীয়তা নীতি URLটিও ঐচ্ছিক।
- নথিতে CSP
connect-src
ব্যবহার করার বিষয়ে একটি সতর্কতা যোগ করা হয়েছে।