ফেডারেটেড শংসাপত্র ব্যবস্থাপনা API আপডেট

ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই ক্রোম 108 এ পাঠানো হয়েছে তবে এটি বিকশিত হতে থাকবে বলে আশা করা হচ্ছে। কোন ব্রেকিং পরিবর্তন পরিকল্পিত আছে.

এই আপডেট কার জন্য?

এই আপডেটগুলি আপনার জন্য যদি:

  • আপনি ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API ব্যবহার করে একজন আইডিপি।
  • আপনি একজন আইডিপি বা আরপি এবং আপনার ব্যবহারের ক্ষেত্রে উপযুক্ত করার জন্য API প্রসারিত করতে আগ্রহী - যেমন আপনি FedID CG সংগ্রহস্থলের আলোচনাগুলি পর্যবেক্ষণ করছেন বা অংশগ্রহণ করছেন এবং API-তে করা পরিবর্তনগুলি বুঝতে চান।
  • আপনি একজন ব্রাউজার বিক্রেতা এবং আপনি API-এর বাস্তবায়নের অবস্থা জানতে চান।

আপনি যদি এই API-এ নতুন হন বা এটি নিয়ে এখনও পরীক্ষা না করে থাকেন, তাহলে ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API-এর ভূমিকা পড়ুন।

চেঞ্জলগ

FedCM API পরিবর্তন সম্পর্কে আপডেট থাকতে, আমাদের ব্লগ বা নিউজলেটার দেখুন।

Chrome 131 (অক্টোবর 2024)

Chrome 125 (এপ্রিল 2024)

Chrome 123 (ফেব্রুয়ারি 2024)

  • ডোমেন ইঙ্গিত API এর জন্য সমর্থন যোগ করা হয়েছে। ডোমেন হিন্ট এপিআই RP-কে একটি FedCM API কলে একটি domainHint প্রপার্টি নির্দিষ্ট করতে দেয় যাতে ব্যবহারকারীর জন্য শুধুমাত্র মিলে যাওয়া অ্যাকাউন্ট দেখা যায়।

Chrome 122 (জানুয়ারি 2024)

  • সংযোগ বিচ্ছিন্ন API এর জন্য সমর্থন যোগ করা হয়েছে। সংযোগ বিচ্ছিন্ন API তৃতীয় পক্ষের কুকির উপর নির্ভর না করে RPsকে তাদের ব্যবহারকারীদের IdP-এর অ্যাকাউন্ট থেকে সংযোগ বিচ্ছিন্ন করতে দেয়।
  • RP এবং IdP একই-সাইট হলে /.well-known/web-identity চেক করা এখন এড়িয়ে যায়।
  • সাবরিসোর্স এখন একই-সাইট লগইন স্ট্যাটাস সেট করতে পারে।

Chrome 121 (ডিসেম্বর 2023)

  • FedCM স্বয়ংক্রিয়-পুনঃপ্রমাণিকেশন ট্রিগার করার জন্য শিথিল শর্ত:
    • FedCM-এ স্বয়ংক্রিয়-পুনঃপ্রমাণকরণ বৈশিষ্ট্যটি শুধুমাত্র তখনই ট্রিগার হয় যখন ব্যবহারকারী ফিরে আসে। এর মানে স্বয়ংক্রিয়-রিউথন ট্রিগার হওয়ার আগে ব্যবহারকারীকে প্রতিটি ব্রাউজারে একবার FedCM ব্যবহার করে RP-এ সাইন ইন করতে হবে। এই শর্তটি প্রাথমিকভাবে ট্র্যাকারদের একটি পরিচয় প্রদানকারী (আইডিপি) হওয়ার ভান করে এবং ব্যবহারকারীকে তাদের জ্ঞান বা চুক্তি ছাড়াই স্বয়ংক্রিয়-পুনঃপ্রমাণিত করার জন্য ব্রাউজারকে প্রতারণা করার ঝুঁকি কমানোর জন্য চালু করা হয়েছিল। যাইহোক, এই ডিজাইন গোপনীয়তার সুবিধার গ্যারান্টি দিতে পারে না যদি ট্র্যাকারের RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে। FedCM শুধুমাত্র তৃতীয় পক্ষের কুকির মাধ্যমে সম্ভাব্য ক্ষমতার একটি উপসেট প্রদান করে, তাই যদি ট্র্যাকারের ইতিমধ্যেই RP প্রসঙ্গে তৃতীয় পক্ষের কুকিগুলিতে অ্যাক্সেস থাকে, FedCM-এ অ্যাক্সেস কোনো অতিরিক্ত গোপনীয়তার ঝুঁকি উপস্থাপন করে না।
      যেহেতু থার্ড-পার্টি কুকিজের বৈধ ব্যবহার রয়েছে এবং শর্ত শিথিল করা হলে UX উন্নত হবে, এই আচরণটি Chrome 121 থেকে পরিবর্তিত হচ্ছে। আমরা একজন ব্যবহারকারীকে ফিরে আসা হিসাবে বিবেচনা করার শর্তের সীমাবদ্ধতা শিথিল করার সিদ্ধান্ত নিয়েছি: যদি তৃতীয় পক্ষের কুকিজ হয় RP প্রসঙ্গে আইডিপি-তে উপলব্ধ, Chrome approved_clients তালিকার মাধ্যমে নির্দিষ্ট করা ব্যবহারকারীর অ্যাকাউন্টের অবস্থা সম্পর্কে IdP-এর দাবিকে বিশ্বাস করবে এবং স্বয়ংক্রিয়ভাবে পুনরায় প্রমাণীকরণ ট্রিগার করবে যদি প্রযোজ্য হয়। তৃতীয় পক্ষের কুকি এর মাধ্যমে উপলব্ধ হতে পারে: ব্যবহারকারীর সেটিংস, এন্টারপ্রাইজ নীতি, হিউরিস্টিকস ( Safari , Firefox , Chrome ) এবং অন্যান্য ওয়েব প্ল্যাটফর্ম API (যেমন স্টোরেজ অ্যাক্সেস API )। মনে রাখবেন যে যখন IdP ভবিষ্যতে তৃতীয় পক্ষের কুকিজ অ্যাক্সেস হারায়, যদি কোনও ব্যবহারকারী আগে কখনও FedCM UI-তে স্পষ্টভাবে অনুমতি না দেয় (উদাহরণস্বরূপ, অবিরত বোতামে ক্লিক করা), তখনও তারা নতুন ব্যবহারকারী হিসাবে বিবেচিত হবে।
      কোন বিকাশকারী কর্মের প্রয়োজন নেই. মনে রাখবেন যে আইডিপি-তে তৃতীয় পক্ষের কুকিজ অ্যাক্সেস থাকলে এবং ব্যবহারকারী অতীতে RP-এ একটি অ্যাকাউন্ট তৈরি করেছেন বলে দাবি করলে এই পরিবর্তনের সাথে অটো-রিউথন প্রবাহ আরও ট্রিগার হতে পারে।

Chrome 120 (নভেম্বর 2023)

  • Chrome 120-এ নিম্নলিখিত তিনটি বৈশিষ্ট্যের জন্য সমর্থন যোগ করা হয়েছে:
    • লগইন স্ট্যাটাস এপিআই : লগইন স্ট্যাটাস এপিআই হল একটি মেকানিজম যেখানে একটি ওয়েবসাইট, বিশেষ করে একটি আইডিপি, ব্রাউজারকে তার ব্যবহারকারীর লগইন স্ট্যাটাস জানায়। এই API এর সাহায্যে, ব্রাউজারটি আইডিপিতে অপ্রয়োজনীয় অনুরোধগুলি কমাতে পারে এবং সম্ভাব্য টাইমিং আক্রমণগুলি হ্রাস করতে পারে। লগইন স্থিতি API FedCM এর জন্য একটি প্রয়োজনীয়তা। এই পরিবর্তনের সাথে, তৃতীয় পক্ষের কুকি ব্লক করা হলে chrome://flags/#fedcm-without-third-party-cookies পতাকার আর FedCM সক্ষম করার প্রয়োজন নেই৷
    • ত্রুটি API : ত্রুটি API আইডিপি দ্বারা প্রদত্ত ত্রুটির তথ্য সহ একটি ব্রাউজার UI দেখিয়ে ব্যবহারকারীকে অবহিত করে।
    • স্বতঃ-নির্বাচিত পতাকা API : স্বতঃ-নির্বাচিত ফ্ল্যাগ API শেয়ার করে যে যখনই স্বতঃ-রিউথন ঘটেছে বা একটি সুস্পষ্ট মধ্যস্থতা ঘটেছে তখন IdP এবং RP উভয়ের সাথে Continue as বোতামে ট্যাপ করার মাধ্যমে একটি স্পষ্ট ব্যবহারকারীর অনুমতি নেওয়া হয়েছে কিনা। আইডিপি এবং আরপি যোগাযোগের জন্য ব্যবহারকারীর অনুমতি মঞ্জুর করার পরেই শেয়ার করা হয়।

Chrome 117 (সেপ্টেম্বর 2023)

Chrome 116 (আগস্ট 2023)

  • Chrome 116-এ নিম্নলিখিত তিনটি বৈশিষ্ট্যের জন্য সমর্থন যোগ করা হয়েছে:
    • লগইন ইঙ্গিত API : সাইন ইন করার জন্য একটি পছন্দের ব্যবহারকারীর অ্যাকাউন্ট নির্দিষ্ট করুন৷
    • ব্যবহারকারীর তথ্য API : ফিরে আসা ব্যবহারকারীর তথ্য আনুন যাতে পরিচয় প্রদানকারী (আইডিপি) একটি আইফ্রেমের মধ্যে একটি ব্যক্তিগতকৃত সাইন-ইন বোতাম রেন্ডার করতে পারে৷
    • RP প্রসঙ্গ API : FedCM ডায়ালগে 'সাইন ইন' থেকে ভিন্ন একটি শিরোনাম ব্যবহার করুন।
  • আইডিপি সাইন-ইন স্ট্যাটাস API-এর জন্য অরিজিন ট্রায়াল উপলব্ধ। FedCM আপডেটগুলিতে এটি সম্পর্কে আরও জানুন: IdP সাইন-ইন স্ট্যাটাস API, লগইন ইঙ্গিত এবং আরও অনেক কিছু।

Chrome 115 (জুন 2023)

  • স্বয়ংক্রিয়-পুনঃপ্রমাণকরণের জন্য সমর্থন যোগ করা হয়েছে যা ব্যবহারকারীদের FedCM ব্যবহার করে প্রাথমিক প্রমাণীকরণের পরে ফিরে আসার পরে স্বয়ংক্রিয়ভাবে পুনরায় প্রমাণীকরণ করতে দেয়। এটি ব্যবহারকারীর অভিজ্ঞতা উন্নত করে এবং প্রাথমিক প্রমাণীকরণের পরে RP-তে আরও সুগমিত পুনঃপ্রমাণ সক্ষম করে। FedCM স্বয়ংক্রিয়-পুনঃপ্রমাণকরণ সম্পর্কে আরও জানুন।

Chrome 110 (ফেব্রুয়ারি 2023)

  • আইডি অ্যাসারশন এন্ডপয়েন্টের জন্য, আইডিপিগুলিকে Origin শিরোনামটি পরীক্ষা করতে হবে ( Referer হেডারের পরিবর্তে) মানটি ক্লায়েন্ট আইডির মূলের সাথে মেলে কিনা।
  • FedCM-এর জন্য ক্রস-অরিজিন iframe সমর্থন এখন উপলব্ধ। এমবেডারের উচিত অনুমতি-নীতি identity-credentials-get । আপনি ক্রস-অরিজিন আইফ্রেমের একটি উদাহরণ দেখতে পারেন।
  • একটি নতুন Chrome পতাকা যোগ করা হয়েছে chrome://flags/#fedcm-without-third-party-cookies ৷ এই পতাকা দিয়ে, আপনি তৃতীয় পক্ষের কুকি ব্লক করে Chrome-এ FedCM কার্যকারিতা পরীক্ষা করতে পারেন। FedCM ডকুমেন্টেশন থেকে আরও জানুন।

Chrome 108 (অক্টোবর 2022)

  • "টপ-লেভেল ম্যানিফেস্ট" কে এখন নথিতে "সুপরিচিত ফাইল" বলা হয়৷ কোন বাস্তবায়ন পরিবর্তন প্রয়োজন নেই.
  • "আইডিপি ম্যানিফেস্ট" কে এখন নথিতে "কনফিগ ফাইল" বলা হয়। কোন বাস্তবায়ন পরিবর্তন প্রয়োজন নেই.
  • "কনফিগ ফাইল"-এর id_token_endpoint এর নাম পরিবর্তন করে id_assertion_endpoint করা হয়েছে।
  • IdP-এর অনুরোধে এখন Sec-FedCM-CSRF: ?1 শিরোনামের পরিবর্তে একটি Sec-Fetch-Dest: webidentity হেডার অন্তর্ভুক্ত রয়েছে।

Chrome 105 (আগস্ট 2022)

  • নথিতে গুরুত্বপূর্ণ নিরাপত্তা তথ্য যোগ করা হয়েছে। আইডি টোকেন এন্ডপয়েন্টে আগে থেকে রেজিস্টার করা RP-এর সাথে Referer হেডার মেলে কিনা তা আইডেন্টিটি প্রোভাইডারকে (আইডিপি) দেখতে হবে।
  • শীর্ষ-স্তরের ম্যানিফেস্টের নাম পরিবর্তন করে /.well-known/fedcm.json থেকে /.well-known/web-identity করা হয়েছে এবং provider_urls এ উল্লেখিত URL-এ ফাইলের নাম অন্তর্ভুক্ত করা উচিত।
  • FederatedCredential দৃষ্টান্তগুলিতে login() , logout() এবং revoke() পদ্ধতিগুলি আর উপলব্ধ নেই৷
  • ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API এখন FederatedCredential পরিবর্তে একটি নতুন ধরনের IdentityCredential ব্যবহার করে। এটি বৈশিষ্ট্য সনাক্তকরণের জন্য ব্যবহার করা যেতে পারে তবে অন্যথায় এটি একটি বড় অদৃশ্য পরিবর্তন।
  • navigator.credentials.get() এবং FederatedCredential.prototype.login() এর সমন্বয় থেকে navigator.credentials.get() এ লগইন কার্যকারিতা সরান।
  • ম্যানিফেস্টে প্রত্যাহার শেষবিন্দু আর কার্যকর নেই৷
  • navigator.credentials.get() কলের জন্য federated ফিল্ডের পরিবর্তে একটি identity ক্ষেত্র ব্যবহার করুন।
  • url এখন configURL এবং একটি navigator.credentials.get() কলের পাথের পরিবর্তে ম্যানিফেস্ট JSON ফাইলের জন্য সম্পূর্ণ URL হতে হবে।
  • nonce এখন navigator.credentials.get() এর জন্য একটি ঐচ্ছিক প্যারামিটার।
  • navigator.credentials.get() এর বিকল্প হিসাবে hint আর উপলব্ধ নেই।
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (জুন 2022)

Chrome 103 (মে 2022)

  • ডেস্কটপ পরিবেশ সমর্থন করে।
  • ডেস্কটপে প্রতি-RP সেটিংস সমর্থন করে।
  • ক্লায়েন্ট মেটাডেটা এন্ডপয়েন্ট এখন ঐচ্ছিক। এই শেষবিন্দুতে, গোপনীয়তা নীতি URLটিও ঐচ্ছিক।
  • নথিতে CSP connect-src ব্যবহার করার বিষয়ে একটি সতর্কতা যোগ করা হয়েছে।

সম্পদ