फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के अपडेट

Federated Credential Management API, Chrome 108 में शिप किया गया है. हालांकि, आने वाले समय में इसमें और भी बदलाव किए जा सकते हैं. कोई बड़ा बदलाव नहीं किया जाएगा.

ये अपडेट किसके लिए हैं?

ये अपडेट आपके लिए हैं, अगर:

  • आप Federated Credential Management API का इस्तेमाल करने वाले आईडीपी हैं.
  • आप आईडीपी या आरपी हैं और आपको अपने इस्तेमाल के उदाहरण के हिसाब से एपीआई को बढ़ाना है – उदाहरण के लिए, आपने FedID CG रिपॉज़िटरी पर होने वाली चर्चाओं को देखा है या उनमें हिस्सा लिया है और आपको एपीआई में किए गए बदलावों को समझना है.
  • आप ब्राउज़र वेंडर हैं और आपको एपीआई को लागू करने की स्थिति के बारे में जानना है.

अगर आपने इस एपीआई का इस्तेमाल पहले कभी नहीं किया है या अब तक इसका इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी पढ़ें.

बदलावों का लॉग

FedCM API में होने वाले बदलावों के बारे में अप-टू-डेट रहने के लिए, हमारा ब्लॉग या न्यूज़लेटर पढ़ें.

Chrome 131 (अक्टूबर 2024)

  • Storage Access API अब भरोसे के सिग्नल के तौर पर FedCM का इस्तेमाल करता है.
    • अगर कोई उपयोगकर्ता आरपी के ऑप्ट-इन के साथ FedCM की मदद से पुष्टि करता है, तो आईडीपी एम्बेड, requestStorageAccess() तरीके को कॉल करके अपनी टॉप-लेवल कुकी का स्टोरेज ऐक्सेस अपने-आप पाने के लिए, उपयोगकर्ता से कोई और अनुरोध किए बिना ऐसा कर सकता है.

Chrome 125 (अप्रैल 2024)

Chrome 123 (फ़रवरी 2024)

  • Domain Hint API के लिए सहायता जोड़ी गई. डोमेन हिंट एपीआई की मदद से, आरपी, FedCM एपीआई कॉल पर domainHint प्रॉपर्टी तय कर सकते हैं, ताकि उपयोगकर्ता के लिए सिर्फ़ मैच होने वाले खाते दिखाए जा सकें.

Chrome 122 (जनवरी 2024)

  • Disconnect API के लिए सहायता जोड़ी गई. Disconnect API की मदद से, आरपी अपने उपयोगकर्ताओं को तीसरे पक्ष की कुकी के बिना, आईडीपी के खाते से डिसकनेक्ट कर सकते हैं.
  • जब आरपी और आईडीपी एक ही साइट पर हों, तो जांच करना/.well-known/web-identity अब छोड़ दिया जाता है.
  • सब-रिसॉर्स अब एक ही साइट के लिए लॉगिन की स्थिति सेट कर सकते हैं.

Chrome 121 (दिसंबर 2023)

  • FedCM के अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने के लिए, आसान शर्तें:
    • FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आ रहा हो. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर होने से पहले, उपयोगकर्ता को हर ब्राउज़र इंस्टेंस पर, FedCM का इस्तेमाल करके RP में एक बार साइन इन करना होगा. इस शर्त को शुरू में, ट्रैकर के पहचान प्रोवाइडर (आईडीपी) के तौर पर काम करने और उपयोगकर्ता की जानकारी या सहमति के बिना, ब्राउज़र को उपयोगकर्ता की पहचान अपने-आप दोबारा पुष्टि करने के लिए गुमराह करने के जोखिम को कम करने के लिए शुरू किया गया था. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट में तीसरे पक्ष की कुकी का ऐक्सेस है, तो इस डिज़ाइन से निजता के फ़ायदे की गारंटी नहीं मिल सकती. FedCM, तीसरे पक्ष की कुकी के ज़रिए उपलब्ध सुविधाओं का सिर्फ़ एक सबसेट उपलब्ध कराता है. इसलिए, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस पहले से है, तो FedCM का ऐक्सेस होने से निजता को कोई और खतरा नहीं होता.
      तीसरे पक्ष की कुकी का इस्तेमाल कई कामों के लिए किया जाता है. साथ ही, इस शर्त को कम करने से यूज़र एक्सपीरियंस बेहतर होगा. इसलिए, Chrome 121 से इस व्यवहार में बदलाव किया जा रहा है. हमने उपयोगकर्ता को वापस आने वाले उपयोगकर्ता के तौर पर मानने की शर्त को कम करने का फ़ैसला लिया है: अगर आरपी (RP) कॉन्टेक्स्ट पर आईडीपी के लिए तीसरे पक्ष की कुकी उपलब्ध हैं, तो Chrome, approved_clients सूची के ज़रिए बताए गए उपयोगकर्ता के खाते की स्थिति के बारे में आईडीपी के दावे पर भरोसा करेगा. साथ ही, अगर लागू हो, तो अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करेगा. तीसरे पक्ष की कुकी, इनके ज़रिए उपलब्ध हो सकती हैं: उपयोगकर्ता सेटिंग, एंटरप्राइज़ नीतियां, हेयुरिस्टिक्स (Safari, Firefox, Chrome) और अन्य वेब प्लैटफ़ॉर्म एपीआई (जैसे, स्टोरेज ऐक्सेस एपीआई). ध्यान दें कि अगर आने वाले समय में आईडीपी के पास तीसरे पक्ष की कुकी का ऐक्सेस नहीं रहता है, तो अगर किसी उपयोगकर्ता ने पहले कभी FedCM यूज़र इंटरफ़ेस (यूआई) पर साफ़ तौर पर अनुमति नहीं दी है, तो उसे अब भी नए उपयोगकर्ता के तौर पर माना जाएगा. उदाहरण के लिए, इसी तौर पर जारी रखें बटन पर क्लिक करना.
      डेवलपर को कुछ भी करने की ज़रूरत नहीं है. ध्यान दें कि इस बदलाव के बाद, अपने-आप फिर से पुष्टि करने वाला फ़्लो ज़्यादा ट्रिगर हो सकता है. ऐसा तब होगा, जब आईडीपी के पास तीसरे पक्ष की कुकी का ऐक्सेस हो और वह दावा करे कि उपयोगकर्ता ने पहले आरपी पर खाता बनाया है.

Chrome 120 (नवंबर 2023)

  • Chrome 120 में, इन तीन सुविधाओं के लिए सहायता जोड़ी गई है:
    • लॉगिन स्टेटस एपीआई: लॉगिन स्टेटस एपीआई एक ऐसा तरीका है जिससे कोई वेबसाइट, खास तौर पर आईडीपी, ब्राउज़र को अपने उपयोगकर्ता के लॉगिन स्टेटस की जानकारी देता है. इस एपीआई की मदद से, ब्राउज़र आईडीपी को ग़ैर-ज़रूरी अनुरोधों को कम कर सकता है. साथ ही, टाइमिंग से जुड़े संभावित हमलों को कम कर सकता है. FedCM के लिए, लॉगिन स्टेटस एपीआई की ज़रूरत होती है. इस बदलाव के बाद, तीसरे पक्ष की कुकी ब्लॉक होने पर, FedCM को चालू करने के लिए chrome://flags/#fedcm-without-third-party-cookies फ़्लैग की ज़रूरत नहीं होगी.
    • गड़बड़ी का एपीआई: गड़बड़ी का एपीआई, आईडीपी से मिली गड़बड़ी की जानकारी के साथ ब्राउज़र यूज़र इंटरफ़ेस (यूआई) दिखाकर, उपयोगकर्ता को सूचना देता है.
    • अपने-आप चुना गया फ़्लैग एपीआई: अपने-आप चुना गया फ़्लैग एपीआई, यह जानकारी शेयर करता है कि उपयोगकर्ता ने इसी तौर पर जारी रखें बटन पर टैप करके, साफ़ तौर पर अनुमति दी है या नहीं. यह जानकारी, IdP और RP, दोनों को दी जाती है. ऐसा तब होता है, जब अपने-आप फिर से पुष्टि करने की सुविधा चालू हो या साफ़ तौर पर मीडिएशन हुआ हो. डेटा सिर्फ़ तब शेयर किया जाता है, जब उपयोगकर्ता ने आईडीपी और आरपी के बीच डेटा शेयर करने की अनुमति दी हो.

Chrome 117 (सितंबर 2023)

Chrome 116 (अगस्त 2023)

  • Chrome 116 में, इन तीन सुविधाओं के लिए सहायता जोड़ी गई है:
    • Login Hint API: साइन इन करने के लिए, पसंदीदा उपयोगकर्ता खाता तय करें.
    • User Info API: वापस आने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (IdP) किसी iframe में, उपयोगकर्ता के हिसाब से साइन इन बटन रेंडर कर सके.
    • RP Context API: FedCM डायलॉग में, 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें.
  • आईडीपी साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल उपलब्ध है. इस बारे में ज़्यादा जानने के लिए, FedCM से जुड़े अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह लेख पढ़ें.

Chrome 115 (जून 2023)

  • अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई है. इसकी मदद से, उपयोगकर्ता FedCM का इस्तेमाल करके शुरुआती पुष्टि करने के बाद, वापस आने पर अपने-आप पुष्टि कर सकते हैं. इससे उपयोगकर्ता अनुभव बेहतर होता है. साथ ही, आरपी के लिए शुरुआती पुष्टि के बाद, फिर से पुष्टि करने की प्रोसेस को आसान बनाया जा सकता है. FedCM की मदद से, अपने-आप फिर से पुष्टि होने की सुविधा के बारे में ज़्यादा जानें.

Chrome 110 (फ़रवरी 2023)

  • आईडी एश्योरेशन एंडपॉइंट के लिए, आईडीपी को Referer हेडर के बजाय Origin हेडर की जांच करनी होगी. इससे यह पता चलता है कि वैल्यू, क्लाइंट आईडी के ऑरिजिन से मेल खाती है या नहीं.
  • FedCM के लिए, क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. एम्बेड करने वाले व्यक्ति या कंपनी को, एम्बेड किए गए क्रॉस-ऑरिजिन iframe में FedCM API को अनुमति देने के लिए, Permissions-Policy identity-credentials-get की जानकारी देनी चाहिए. क्रॉस-ओरिजिन iframe का उदाहरण देखें.
  • Chrome का नया फ़्लैग chrome://flags/#fedcm-without-third-party-cookies जोड़ा गया. इस फ़्लैग की मदद से, तीसरे पक्ष की कुकी को ब्लॉक करके, Chrome में FedCM की सुविधा को टेस्ट किया जा सकता है. FedCM के दस्तावेज़ से ज़्यादा जानें.

Chrome 108 (अक्टूबर 2022)

  • दस्तावेज़ में, "टॉप-लेवल मेनिफ़ेस्ट" को अब "well-known file" कहा जाता है. लागू करने के तरीके में कोई बदलाव करने की ज़रूरत नहीं है.
  • दस्तावेज़ में, "IdP मेनिफ़ेस्ट" को अब "config फ़ाइल" कहा जाता है. लागू करने के तरीके में कोई बदलाव करने की ज़रूरत नहीं है.
  • "config फ़ाइल" में मौजूद id_token_endpoint का नाम बदलकर id_assertion_endpoint कर दिया गया है.
  • अब आईडीपी के अनुरोधों में, Sec-FedCM-CSRF: ?1 हेडर के बजाय Sec-Fetch-Dest: webidentity हेडर शामिल होता है.

Chrome 105 (अगस्त 2022)

  • दस्तावेज़ में सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई है. पहचान की पुष्टि करने वाली सेवा देने वाली कंपनी (आईडीपी) को यह देखना होगा कि Referer हेडर, आईडी टोकन एंडपॉइंट पर पहले से रजिस्टर किए गए आरपी के ऑरिजिन से मेल खाता है या नहीं.
  • टॉप-लेवल मेनिफ़ेस्ट का नाम /.well-known/fedcm.json से बदलकर /.well-known/web-identity कर दिया गया है. साथ ही, provider_urls में दिए गए यूआरएल में फ़ाइल का नाम शामिल होना चाहिए.
  • FederatedCredential के इंस्टेंस पर, login(), logout(), और revoke() तरीके अब उपलब्ध नहीं हैं.
  • Federated Credential Management API अब FederatedCredential के बजाय, एक नए टाइप IdentityCredential का इस्तेमाल करता है. इसका इस्तेमाल, सुविधाओं का पता लगाने के लिए किया जा सकता है. हालांकि, यह बदलाव ज़्यादातर मामलों में नहीं दिखता.
  • लॉगिन की सुविधा को navigator.credentials.get() और FederatedCredential.prototype.login() के कॉम्बिनेशन से navigator.credentials.get() पर ले जाएं.
  • मेनिफ़ेस्ट में सहमति रद्द करने का एंडपॉइंट अब काम नहीं कर रहा है.
  • navigator.credentials.get() कॉल के लिए, federated फ़ील्ड के बजाय identity फ़ील्ड का इस्तेमाल करें.
  • url अब configURL है और यह navigator.credentials.get() कॉल के पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए.
  • nonce अब navigator.credentials.get() के लिए वैकल्पिक पैरामीटर है.
  • hint अब navigator.credentials.get() के लिए विकल्प के तौर पर उपलब्ध नहीं है.
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (जून 2022)

  • आईडी टोकन एंडपॉइंट पर भेजा गया consent_acquired पैरामीटर अब disclosure_text_shown है. वैल्यू में कोई बदलाव नहीं हुआ है.
  • IdP मेनिफ़ेस्ट में ब्रैंडिंग आइकॉन के लिए, अब एसवीजी इमेज का इस्तेमाल नहीं किया जा सकता. हालांकि, अब आरपी की कॉन्टेंट सुरक्षा नीति में, ब्रैंडिंग आइकॉन के लिए अनुमति देने की ज़रूरत नहीं है.

Chrome 103 (मई 2022)

  • डेस्कटॉप एनवायरमेंट के साथ काम करता है.
  • डेस्कटॉप पर, हर आरपी के लिए सेटिंग की सुविधा काम करती है.
  • क्लाइंट मेटाडेटा एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल देना ज़रूरी नहीं है.
  • दस्तावेज़ में सीएसपी connect-src का इस्तेमाल करने के बारे में चेतावनी जोड़ी गई है.

संसाधन