Apresentamos algumas atualizações do FedCM, incluindo um novo teste de origem para reautenticação automática.
A API Federated Credential Management (FedCM) é uma API web para federação de identidade que preserva a privacidade. Com a federação de identidade, uma A parte confiável (RP) precisa de um IdP (provedor de identidade) para fornecer ao usuário um sem precisar de um novo nome de usuário e senha.
FedCM é uma API específica que permite que o navegador entenda o contexto em que o RP e o IdP trocam informações, informam o usuário sobre o informações e níveis de privilégio sejam compartilhados e evitem abusos não intencionais.
Atualizações
Fizemos algumas atualizações na implementação do FedCM no Chrome:
- Para a declaração de ID
endpoint do Compute Engine, os IdPs precisam
verifique o cabeçalho
Origin(em vez do cabeçalhoReferer) para ver se o valor corresponde à origem do ID do cliente. - Uma nova sinalização do Chrome
O contato
chrome://flags/#fedcm-without-third-party-cookiesfoi adicionado. Com essa sinalização, é possível testam a funcionalidade do FedCM no Chrome, bloqueando aplicativos cookies.
Para todas as atualizações anteriores da API, confira Federated Credential Management atualizações da API.
A versão mais recente do FedCM inclui um novo recurso de reautenticação automática, que permite reautenticar os usuários automaticamente quando eles voltam após a autenticação inicial usando o FedCM. A reautenticação automática está disponível como um teste de origem a partir do Chrome 112.
Reautenticação automática
Atualmente, depois que um usuário cria uma conta federada em uma parte restrita em uma parte restrita com um IdP pelo FedCM na próxima vez que acessar que precisam passar pelas mesmas etapas na interface do usuário. Ou seja, eles precisam confirmar e reautenticar prossiga com o fluxo de login. Como uma das principais objetivos do FedCM é impedir o rastreamento oculto, essa experiência do usuário (UX) faz sentido antes que o usuário criou a conta federada, mas se torna desnecessária e complicada depois que o usuário já passou por ele uma vez. Depois que o usuário concede a permissão para comunicação entre o RP e o IdP, não há benefício de privacidade ou segurança para a aplicação de outra confirmação explícita do usuário sobre algo já confirmados. É por isso que o Chrome está apresentando uma versão UX que as partes interessadas podem escolher para os usuários recorrentes.
Reautenticação automática do FedCM "reautenticação automática" reautentica os usuários automaticamente (quando as RPs permitem), quando eles voltam após a autenticação inicial usando o FedCM. "O autenticação" aqui significa que o usuário cria uma conta ou faz login na tocando no botão Continuar como... na caixa de diálogo de login do FedCM na mesma instância do navegador.
A parte restrita pode solicitar a reautenticação automática chamando navigator.credentials.get() com autoReauthn: true.
const cred = await navigator.credentials.get({
identity: {
providers: [{
configURL: "https://idp.example/fedcm.json",
clientId: "1234",
}],
// NOTE: We are exploring different API options to expose this
// functionality here:
// https://github.com/fedidcg/FedCM/issues/429#issuecomment-1426358523
// You should expect that, as a result of the origin trial, we'll
// learn more from developers and browser vendors what works best here.
autoReauthn: true, // default to false
},
});
Nessa chamada, a reautenticação automática acontece nas seguintes condições:
- O FedCM está disponível para uso. Por exemplo, o usuário não desativou o FedCM. globalmente ou para a parte restrita.
- O usuário utilizou apenas uma conta do FedCM para fazer login no site neste navegador.
- O usuário fez login no IdP com essa conta.
- A reautenticação automática não aconteceu nos últimos 10 minutos.
Quando as condições acima forem atendidas, uma tentativa de reautenticar automaticamente o
usuário começa assim que o FedCM navigator.credentials.get() é invocado.
Faça um teste
Para testar a reautenticação automática do FedCM no local, ative uma instância do Chrome
flag chrome://flags#fedcm-auto-re-authn ativada
Chrome 112 ou mais recente.
Para fins de teste, você pode redefinir o período de silêncio de 10 minutos removendo dados do navegador.
- Navegue para
chrome://history. - Na caixa do histórico de pesquisa, digite a origem da parte restrita.
- Clique no ícone de três pontos ⋮ e selecione Remover do histórico.
- Reinicie o Chrome.
Participar do teste de origem
Você também pode ativar o recurso no seu site participando do terceiro teste de origem disponível no Chrome 112 até o Chrome 114.
Os testes de origem permitem testar novos recursos e fornecer feedback sobre a usabilidade, praticidade e eficácia deles para a comunidade de padrões da Web. Para mais informações, consulte o Guia de testes de origem para desenvolvedores da Web. Para se inscrever nesse ou em outro teste de origem, acesse a página de registro.
Para registrar a origem de terceiros teste e ative o recurso em terceiros:
- Acesse a página de registro de testes de origem.
- Clique no botão Register e preencha o formulário para solicitar um token.
- Insira a origem de exibição como Origem da Web.
- Verifique Correspondência de terceiros para injetar o token com JavaScript em outras origens.
- Clique em Enviar.
- Incorporar o token emitido em um terceiro.
Para incorporar o token a um terceiro, adicione o seguinte código ao seu JavaScript ou SDK disponibilizado pela origem do site registrado.
const tokenElement = document.createElement('meta');
tokenElement.httpEquiv = 'origin-trial';
tokenElement.content = 'TOKEN_GOES_HERE';
document.head.appendChild(tokenElement);
Substitua TOKEN_GOES_HERE pelo seu próprio token.
Interaja e compartilhe feedback
Se você tiver feedback ou encontrar problemas durante os testes, compartilhe suas informações em crbug.com no componente Blink>Identity>FedCM.