서드 파티 쿠키 변경사항이 로그인 워크플로에 미치는 영향 확인

Chrome에서는 서드 파티 쿠키를 사용하는 사용자 선택권을 위한 새로운 환경을 제안하고 있습니다. 서드 파티 쿠키 없이 탐색하는 사용자를 위해 사이트를 준비해야 합니다.

이 페이지에서는 영향을 받을 가능성이 가장 높은 ID 시나리오에 관한 정보와 가능한 해결 방법에 관한 참조를 확인할 수 있습니다.

웹사이트가 동일한 도메인 및 하위 도메인(예: publisher.examplelogin.publisher.example) 내에서만 흐름을 처리하는 경우 크로스 사이트 쿠키를 사용하지 않으며 로그인 흐름이 서드 파티 쿠키 변경의 영향을 받지 않을 것으로 예상됩니다.

하지만 사이트에서 Google 로그인 또는 Facebook 로그인과 같이 로그인에 별도의 도메인을 사용하거나 사이트에서 여러 도메인 또는 하위 도메인 간에 사용자 인증을 공유해야 하는 경우 교차 사이트 쿠키에서 원활하게 전환할 수 있도록 사이트를 변경해야 할 수 있습니다.

일반적인 사용자 경험

이전에는 많은 ID 워크플로가 서드 파티 쿠키를 사용했습니다. 표에는 일반적인 사용자 여정과 서드 파티 쿠키에 종속되지 않는 각 여정에 대한 잠재적 솔루션이 나와 있습니다. 다음 섹션에서는 이러한 권장사항의 근거를 설명합니다.

사용자 여정 권장 API
소셜 로그인 ID 공급업체의 경우: FedCM 구현
신뢰 당사자의 경우: ID 공급업체에 문의
프런트 채널 로그아웃 ID 공급업체: FedCM 구현

싱글 사인온(SSO)

ID 공급업체 또는 맞춤 솔루션의 경우: 관련 웹사이트 세트

사용자 프로필 관리 Storage Access API
관련 웹사이트 세트
CHIPS
FedCM + SAA

구독 관리

Storage Access API
관련 웹사이트 세트
CHIPS
FedCM + SAA
인증 Storage Access API
FedCM
Web Authentication API
파티션된 팝인

기타 사용자 여정

이러한 시나리오는 일반적으로 서드 파티 쿠키 종속 항목이 없으며 영향을 받지 않을 것으로 예상됩니다.

서드 파티 쿠키 변경사항으로 인해 로그인 절차가 영향을 받는지 테스트하는 가장 좋은 방법은 서드 파티 쿠키 테스트 플래그를 사용 설정한 상태에서 등록, 비밀번호 복구, 로그인, 로그아웃 절차를 진행하는 것입니다.

서드 파티 쿠키를 제한한 후 확인해야 할 사항의 체크리스트는 다음과 같습니다.

  • 사용자 등록: 새 계정을 만드는 작업이 정상적으로 작동합니다. 서드 파티 ID 공급업체를 사용하는 경우 모든 통합에서 새 계정 등록이 작동하는지 확인합니다.
  • 비밀번호 복구: 웹 UI에서 CAPTCHA, 비밀번호 복구 이메일 수신에 이르기까지 비밀번호 복구가 예상대로 작동합니다.
  • 로그인: 로그인 워크플로는 동일한 도메인 내에서 그리고 다른 도메인으로 이동할 때 작동합니다. 모든 로그인 통합을 테스트해야 합니다.
  • 로그아웃: 로그아웃 프로세스가 예상대로 작동하며 사용자가 로그아웃 흐름 후에도 로그아웃된 상태로 유지됩니다.

또한 사용자 로그인이 필요한 다른 사이트 기능이 크로스 사이트 쿠키 없이도 작동하는지 테스트해야 합니다(특히 크로스 사이트 리소스 로드가 포함된 경우). 예를 들어 CDN을 사용하여 사용자 프로필 이미지를 로드하는 경우 여전히 작동하는지 확인합니다. 로그인 시 결제와 같이 중요한 사용자 여정이 있는 경우 이러한 여정이 계속 작동하는지 확인합니다.

로그인 솔루션

이 섹션에서는 이러한 흐름에 미칠 수 있는 영향에 관한 자세한 정보를 확인할 수 있습니다.

서드 파티 싱글 사인온 (SSO)

서드 파티 싱글 사인온 (SSO)을 사용하면 사용자가 하나의 플랫폼에서 하나의 사용자 인증 정보로 인증한 후 로그인 정보를 다시 입력하지 않고도 여러 애플리케이션과 웹사이트에 액세스할 수 있습니다. SSO 솔루션을 구현하는 것이 복잡하기 때문에 많은 회사는 여러 출처 간에 로그인 상태를 공유하기 위해 서드 파티 솔루션 제공업체를 사용하는 것을 선택합니다. 공급업체의 예로는 Okta, Ping Identity, Google Cloud IAM, Microsoft Entra ID가 있습니다.

솔루션에서 서드 파티 제공업체를 사용하는 경우 라이브러리 업그레이드와 같은 일부 사소한 변경이 필요할 수 있습니다. 가장 좋은 방법은 서드 파티 쿠키 종속 항목이 솔루션에 미치는 영향과 서비스에 권장되는 접근 방식에 대해 제공업체의 안내를 받는 것입니다. 일부 제공업체는 서드 파티 쿠키를 자동으로 이전하며, 이 경우 신뢰 당사자는 업데이트할 필요가 없습니다.

여러 도메인

일부 웹사이트는 동일 사이트 쿠키를 사용할 수 없는 사용자를 인증하는 데만 다른 도메인을 사용합니다. 예를 들어 기본 사이트에는 example.com를 사용하고 로그인 흐름에는 login.example를 사용하는 웹사이트가 있습니다. 이 경우 사용자가 두 도메인 모두에서 인증되도록 하려면 서드 파티 쿠키에 액세스해야 할 수 있습니다.

일부 비즈니스에서는 여러 도메인 또는 하위 도메인에 여러 제품을 호스팅할 수 있습니다. 이러한 솔루션은 여러 제품 간에 사용자 세션을 공유하려고 할 수 있으며, 이 경우 여러 도메인 간에 서드 파티 쿠키에 액세스해야 할 수 있습니다.

이 시나리오에서 가능한 이전 경로는 다음과 같습니다.

  • 퍼스트 파티 ('동일 사이트') 쿠키를 사용하도록 업데이트: 로그인 흐름이 기본 사이트와 동일한 도메인 (또는 하위 도메인)에서 호스팅되도록 웹사이트 인프라를 변경하여 퍼스트 파티 쿠키만 사용합니다. 인프라 설정에 따라 더 많은 노력이 필요할 수 있습니다.
  • 관련 웹사이트 세트 (RWS)Storage Access API (SAA) 사용: RWS를 사용하면 소수의 관련 도메인 그룹 간에 제한된 교차 사이트 쿠키 액세스가 가능합니다. RWS를 사용하면 Storage Access API로 스토리지 액세스를 요청할 때 사용자 메시지가 필요하지 않습니다. 이렇게 하면 IdP와 동일한 RWS에 있는 RP에서 SSO를 사용할 수 있습니다. 하지만 RWS는 제한된 수의 도메인에서만 교차 사이트 쿠키 액세스를 지원합니다.
  • Web Authentication API 사용: Web Authentication API를 사용하면 신뢰 당사자 (RP)가 사용자 인증 정보를 생성하고 사용할 수 있는 제한된 관련 출처 집합을 등록할 수 있습니다.
  • 연결된 도메인이 5개를 초과하는 경우 제휴 사용자 인증 관리 (FedCM)를 살펴보세요. FedCM을 사용하면 ID 제공업체가 서드 파티 쿠키 없이 Chrome을 사용하여 ID 관련 흐름을 처리할 수 있습니다. 이 경우 '로그인 도메인'이 FedCM ID 공급업체 역할을 하며 다른 도메인에서 사용자를 인증하는 데 사용될 수 있습니다.

삽입에서 인증

3-party-app.example iframe이 top-level.example에 삽입되었다고 가정해 보겠습니다. 3-party-app.example에서 사용자는 3-party-app.example 사용자 인증 정보 또는 다른 서드 파티 제공업체로 로그인할 수 있습니다.

사용자가 '로그인'을 클릭하고 3-party-app.example 팝업에서 인증합니다. 3-party-app.example 팝업은 퍼스트 파티 쿠키를 설정합니다. 그러나 top-level.example에 삽입된 3-party-app.example iframe은 파티션화되어 3-party-app.example의 퍼스트 파티 컨텍스트에 설정된 쿠키에 액세스할 수 없습니다.

서드 파티 쿠키가 제한된 경우 RP 웹사이트와 서드 파티 IdP 간에 팝업이 표시되는 인증 흐름을 보여주는 그림
팝업이 있는 인증 흐름: 서드 파티 쿠키가 제한되면 RP에 삽입된 서드 파티 IdP iframe이 자체 쿠키에 액세스할 수 없습니다.

사용자가 top-level.example에서 3-party-app.example로 리디렉션되었다가 다시 top-level.example로 돌아갈 때도 동일한 문제가 발생합니다. 쿠키는 3-party-app.example 사이트의 퍼스트 파티 컨텍스트에 작성되지만 파티션이 분할되어 3-party-app.example iframe 내에서 액세스할 수 없습니다.

서드 파티 쿠키가 제한된 경우 RP 웹사이트와 서드 파티 IdP 간에 리디렉션이 포함된 인증 흐름을 보여주는 그림
리디렉션이 있는 인증 흐름: 서드 파티 쿠키가 제한되면 쿠키가 최상위 도메인 컨텍스트 내에 작성되며 iframe 내에서 액세스할 수 없습니다.

사용자가 최상위 컨텍스트에서 삽입된 출처를 방문한 경우에는 Storage Access API가 적합한 솔루션입니다.

서드 파티 쿠키를 사용하는 솔루션에서 이전하려면 ID 공급업체에서 FedCM API를 채택하고 FedCM이 팝업 대신 삽입 내에서 호출되도록 하는 것이 좋습니다.

이 흐름에 대한 또 다른 제안된 솔루션인 파티션된 팝인은 구현 중입니다.

소셜 로그인

Google 계정으로 로그인, Facebook 로그인, 트위터로 로그인과 같은 로그인 버튼은 웹사이트에서 제휴 ID 공급업체를 사용하고 있다는 확실한 신호입니다. 각 제휴 ID 제공업체는 자체 구현을 갖습니다.

지원 중단된 Google 로그인 JavaScript 플랫폼 라이브러리를 사용하는 경우 인증 및 승인을 위해 최신 Google ID 서비스 라이브러리로 이전하는 방법을 알아보세요.

최신 Google ID 서비스 라이브러리를 사용하는 대부분의 사이트는 호환성을 위해 FedCM을 사용하도록 라이브러리가 자동으로 이전되므로 서드 파티 쿠키에 대한 의존성을 삭제했습니다. 서드 파티 쿠키 단계적 중단 테스트 플래그를 사용 설정하여 사이트를 테스트하고 필요한 경우 FedCM 이전 체크리스트를 사용하여 준비하는 것이 좋습니다.

삽입된 콘텐츠에서 사용자 데이터에 액세스하고 수정

삽입된 콘텐츠는 사용자 프로필 또는 구독 데이터에 액세스하거나 관리하는 등의 사용자 여정에 자주 사용됩니다.

예를 들어 사용자가 subscriptions.example 위젯을 삽입하는 website.example에 로그인할 수 있습니다. 이 위젯을 사용하면 사용자가 프리미엄 콘텐츠를 구독하거나 결제 정보를 업데이트하는 등 데이터를 관리할 수 있습니다. 사용자 데이터를 수정하려면 삽입된 위젯이 website.example에 삽입된 동안 자체 쿠키에 액세스해야 할 수 있습니다. 이 데이터를 website.example로 격리해야 하는 시나리오에서 CHIPS를 사용하면 삽입이 필요한 정보에 액세스할 수 있습니다. CHIPS를 사용하면 website.example에 삽입된 subscriptions.example 위젯이 다른 웹사이트의 사용자 구독 데이터에 액세스할 수 없습니다.

다른 사례를 생각해 보겠습니다. streaming.example의 동영상이 website.example에 삽입되어 있고 사용자가 Premium streaming.example을 구독 중이며 광고를 사용 중지하려면 위젯에서 이를 알아야 합니다. 여러 사이트에서 동일한 쿠키에 액세스해야 하는 경우 사용자가 이전에 streaming.example를 최상위로 방문한 경우 Storage Access API를 사용하고, website.example의 세트가 streaming.example를 소유한 경우 관련 웹사이트 세트를 사용하는 것이 좋습니다.

Chrome 131부터 FedCMStorage Access API통합됩니다. 이 통합을 사용하면 사용자가 FedCM 메시지를 수락하면 브라우저가 파티션되지 않은 저장소에 대한 IdP 삽입 액세스 권한을 부여합니다.

삽입된 콘텐츠로 특정 사용자 여정을 처리하는 데 선택할 API에 관한 자세한 내용은 삽입 가이드를 참고하세요.

프런트 채널 로그아웃

프런트 채널 로그아웃은 사용자가 한 서비스에서 로그아웃할 때 모든 관련 앱에서 로그아웃할 수 있는 메커니즘입니다. OIDC의 프런트 채널 로그아웃을 사용하려면 IdP가 RP의 쿠키를 사용하는 여러 신뢰 당사자 (RP) iframe을 삽입해야 합니다.

솔루션에서 ID 공급자를 사용하는 경우 라이브러리 업그레이드와 같은 사소한 변경이 필요할 수 있습니다. 자세한 안내는 ID 공급업체에 문의하세요.

이 사용 사례를 해결하기 위해 FedCM에서는 logoutRPs 기능을 실험했습니다. 이를 통해 IdP는 사용자가 이전에 RP-IdP 통신을 승인한 모든 RP를 로그아웃할 수 있었습니다. 이 기능은 더 이상 사용할 수 없지만 이 기능에 관심이 있거나 필요한 경우 초기 제안서를 살펴보고 의견을 공유해 주시기 바랍니다.

기타 사용자 여정

서드 파티 쿠키를 사용하지 않는 사용자 여정은 Chrome에서 서드 파티 쿠키를 처리하는 방식의 변경사항의 영향을 받지 않습니다. 퍼스트 파티 컨텍스트 내에서 로그인, 로그아웃, 계정 복구와 같은 기존 솔루션, 2FA는 정상적으로 작동해야 합니다. 중단이 발생할 수 있는 지점은 이전에 설명되었습니다. 특정 API에 관한 자세한 내용은 API 상태 페이지를 확인하세요. 발생한 중단 현상은 goo.gle/report-3pc-broken에 신고하세요. 의견 양식을 제출하거나 GitHub의 개인 정보 보호 샌드박스 개발자 지원 저장소에서 문제를 제출할 수도 있습니다.

사이트 감사

웹사이트에서 이 가이드에 설명된 사용자 여정 중 하나를 구현하는 경우 사이트가 준비되었는지 확인해야 합니다. 사이트에서 서드 파티 쿠키 사용을 감사하고, 중단을 테스트하고, 권장 솔루션으로 전환합니다.