Cookie của bên thứ ba có các trường hợp sử dụng hợp lệ, nhưng cũng cho phép theo dõi trên nhiều trang web. Chrome có kế hoạch hạn chế sử dụng cookie của bên thứ ba cho 1% người dùng từ Quý 1 năm 2024 để tạo điều kiện cho hoạt động thử nghiệm, sau đó tăng cường ngừng sử dụng cookie của bên thứ ba cho 100% người dùng từ đầu năm 2025, đồng thời giải quyết mọi mối lo ngại còn lại về cạnh tranh của Cơ quan Cạnh tranh và Thị trường (CMA) của Vương quốc Anh. Nếu trang web của bạn có quy trình đăng nhập dựa vào cookie của bên thứ ba, thì có khả năng quy trình đăng nhập sẽ chịu ảnh hưởng của sự thay đổi này. Bạn phải đảm bảo trang web của mình đã sẵn sàng.
Trên trang này, bạn sẽ tìm thấy thông tin về các trường hợp đăng nhập có nhiều khả năng bị ảnh hưởng nhất, cũng như tài liệu tham khảo các giải pháp khả thi.
Nếu trang web của bạn chỉ xử lý các luồng trong cùng một miền và miền con, chẳng hạn như publisher.example và login.publisher.example, thì trang web sẽ không sử dụng cookie trên nhiều trang web và quy trình đăng nhập của bạn dự kiến sẽ không bị ảnh hưởng khi bị loại bỏ.
Tuy nhiên, nếu trang web của bạn sử dụng một miền riêng để đăng nhập, chẳng hạn như bằng tính năng Đăng nhập bằng Google hoặc Đăng nhập Facebook, hoặc trang web của bạn cần chia sẻ thông tin xác thực người dùng trên nhiều miền hoặc miền con, thì có thể bạn cần thực hiện các thay đổi đối với trang web để đảm bảo quá trình chuyển đổi suôn sẻ khỏi cookie trên nhiều trang web.
Kiểm thử hành trình của người dùng liên quan đến danh tính
Cách tốt nhất để kiểm tra xem quy trình đăng nhập của bạn có bị ảnh hưởng bởi việc loại bỏ cookie của bên thứ ba hay không là thực hiện quy trình đăng ký, khôi phục mật khẩu, đăng nhập và đăng xuất với cờ thử nghiệm loại bỏ cookie của bên thứ ba được bật.
Đây là danh sách kiểm tra gồm những việc cần kiểm tra sau khi bạn đã hạn chế cookie của bên thứ ba:
- Đăng ký người dùng: Tạo tài khoản mới hoạt động như dự kiến. Nếu sử dụng nhà cung cấp danh tính bên thứ ba, hãy kiểm tra để đảm bảo rằng việc đăng ký tài khoản mới phù hợp với mọi hoạt động tích hợp.
- Khôi phục mật khẩu: Tính năng khôi phục mật khẩu hoạt động như dự kiến, từ giao diện người dùng trên web cho tới hình ảnh xác thực (CAPTCHA) và nhận email khôi phục mật khẩu.
- Đăng nhập: Quy trình đăng nhập hoạt động trong cùng một miền và khi di chuyển đến các miền khác. Hãy nhớ kiểm thử mọi chế độ tích hợp đăng nhập.
- Đăng xuất: Quy trình đăng xuất hoạt động như dự kiến và người dùng vẫn ở trạng thái đăng xuất sau quy trình đăng xuất.
Bạn cũng nên kiểm thử để đảm bảo rằng các tính năng khác của trang web yêu cầu người dùng đăng nhập vẫn hoạt động mà không cần cookie trên nhiều trang web, đặc biệt nếu các tính năng đó liên quan đến việc tải tài nguyên trên nhiều trang web. Ví dụ: nếu bạn sử dụng CDN để tải ảnh hồ sơ người dùng, hãy đảm bảo rằng giải pháp này vẫn hoạt động. Nếu bạn có những hành trình trọng yếu của người dùng, chẳng hạn như thanh toán, bị kiểm soát đăng nhập, hãy đảm bảo các hành trình này vẫn hoạt động.
Trong các phần tiếp theo, bạn sẽ tìm thấy thông tin cụ thể hơn về cách các luồng đó có thể bị ảnh hưởng.
Danh tính được liên kết
Các nút đăng nhập như Đăng nhập bằng Google, Đăng nhập Facebook và Đăng nhập bằng Twitter là dấu hiệu rõ ràng cho thấy trang web của bạn đang sử dụng nhà cung cấp danh tính được liên kết. Vì mỗi nhà cung cấp danh tính được liên kết sẽ có cách triển khai riêng, giải pháp tốt nhất là kiểm tra tài liệu về trình cung cấp hoặc liên hệ với họ để được hướng dẫn thêm.
Nếu đang dùng thư viện nền tảng JavaScript (Đăng nhập bằng Google) không dùng nữa, bạn có thể tìm thông tin về cách di chuyển sang thư viện Dịch vụ nhận dạng mới của Google để xác thực và uỷ quyền.
Hầu hết các trang web sử dụng thư viện Dịch vụ nhận dạng của Google mới hơn đều đã sẵn sàng cho việc ngừng sử dụng cookie của bên thứ ba, vì thư viện sẽ tự động di chuyển sang dùng FedCM để tương thích. Bạn nên kiểm thử trang web của mình bằng cách bật cờ thử nghiệm loại bỏ cookie của bên thứ ba và nếu cần, hãy sử dụng danh sách kiểm tra quá trình di chuyển FedCM để chuẩn bị.
Miền đăng nhập riêng biệt
Một số trang web chỉ sử dụng một miền khác để xác thực người dùng không đủ điều kiện sử dụng cookie cùng trang web, chẳng hạn như trang web dùng example.com cho trang web chính và login.example cho quy trình đăng nhập (có thể yêu cầu truy cập vào cookie của bên thứ ba để đảm bảo người dùng được xác thực trên cả hai miền).
Các đường dẫn di chuyển có thể có cho trường hợp này là:
- Cập nhật để sử dụng cookie của bên thứ nhất ("cùng trang web"): Thay đổi cơ sở hạ tầng trang web để quy trình đăng nhập được lưu trữ trên cùng một miền (hoặc một miền con) với trang web chính, tức là chỉ sử dụng cookie của bên thứ nhất. Việc này có thể khiến bạn tốn nhiều công sức hơn, tuỳ thuộc vào cách thiết lập cơ sở hạ tầng.
- Sử dụng Bộ trang web có liên quan (RWS): Bộ trang web có liên quan cho phép giới hạn quyền truy cập vào cookie trên nhiều trang web giữa một nhóm nhỏ các miền có liên quan. RWS là một API Hộp cát về quyền riêng tư được xây dựng để hỗ trợ trường hợp sử dụng này. Tuy nhiên, RWS chỉ hỗ trợ quyền truy cập cookie trên nhiều trang web trên một số ít miền.
- Nếu bạn đang xác thực người dùng trên hơn 5 miền được liên kết, hãy khám phá FedCM: Quản lý thông tin xác thực liên kết (FedCM) cho phép các nhà cung cấp danh tính dựa vào Chrome để xử lý các quy trình liên quan đến danh tính mà không cần cookie của bên thứ ba. Trong trường hợp của bạn, "miền đăng nhập" có thể đóng vai trò là nhà cung cấp danh tính FedCM và dùng để xác thực người dùng trên các miền khác của bạn.
Nhiều tên miền
Khi có nhiều sản phẩm được lưu trữ trên các miền hoặc miền con khác nhau, doanh nghiệp nên chia sẻ phiên hoạt động của người dùng trên các sản phẩm đó. Trường hợp này có thể yêu cầu việc truy cập vào cookie của bên thứ ba giữa nhiều miền.
Trong trường hợp này, việc lưu trữ tất cả sản phẩm trong cùng một miền thường không mong muốn. Giải pháp khả thi cho trường hợp này là:
- Sử dụng Nhóm trang web có liên quan: Khi cần quyền truy cập vào cookie trên nhiều trang web giữa một nhóm nhỏ các miền liên quan.
- Sử dụng Quản lý thông tin xác thực liên kết (FedCM): Khi số lượng miền lớn, bạn có thể sử dụng một miền đăng nhập riêng để đóng vai trò là nhà cung cấp danh tính và xác thực người dùng trên các trang web của mình bằng FedCM.
Giải pháp đăng nhập
Đăng nhập một lần của bên thứ ba (SSO)
Do việc triển khai giải pháp SSO phức tạp, nhiều công ty chọn sử dụng một nhà cung cấp giải pháp bên thứ ba để chia sẻ trạng thái đăng nhập giữa nhiều nguồn gốc. Ví dụ về nhà cung cấp: Okta, Ping Identity, Google Cloud IAM hoặc Mã nhận dạng Microsoft Entra.
Khi sử dụng nhà cung cấp bên thứ ba, cách tốt nhất là tham khảo hướng dẫn của nhà cung cấp về mức độ ảnh hưởng của việc loại bỏ cookie của bên thứ ba đối với giải pháp và phương pháp mà họ đề xuất cho dịch vụ của họ.
Giải pháp nguồn mở cho quảng cáo một lần (SSO)
Nhiều công ty duy trì giải pháp SSO của riêng mình bằng cách dùng các tiêu chuẩn ngành có uy tín, chẳng hạn như ID mở, OAuth hoặc SAML, hoặc các dự án nguồn mở đã thiết lập như Keycloak, WSO2, Auth.js hoặc Hydra.
Bạn nên xem tài liệu dành cho nhà cung cấp của mình để nắm được tác động của việc loại bỏ cookie đến giải pháp của họ và cách di chuyển phù hợp nhất cho giải pháp cụ thể đó.
Giải pháp nội bộ tuỳ chỉnh
Nếu giải pháp đăng nhập của bạn thuộc một trong các trường hợp sử dụng trước đó và được tạo nội bộ, bài viết Chuẩn bị để ngừng sử dụng cookie của bên thứ ba sẽ giải thích chi tiết hơn về cách kiểm tra mã và chuẩn bị cho việc loại bỏ cookie của bên thứ ba.
Hành động ngay!
Nếu trang web của bạn thuộc một trong các trường hợp sử dụng, thì sẽ có nhiều giải pháp giúp giải quyết mọi tác động có thể xảy ra, từ việc di chuyển quy trình xác thực sang miền chính để trang web chỉ sử dụng cookie của bên thứ nhất, sử dụng Bộ trang web có liên quan để cho phép chia sẻ cookie giữa một số ít miền hoặc tận dụng tính năng Quản lý thông tin xác thực liên kết.
Thời điểm để kiểm tra dịch vụ của bạn và chuẩn bị cho việc loại bỏ cookie của bên thứ ba hiện là!