फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई को Chrome108 में शिप किया जाता है. हालांकि, इसमें बेहतर बदलाव हो सकता है. कोई नुकसान पहुंचाने वाला कोई बदलाव नहीं किया गया है.
ये अपडेट किसके लिए हैं?
ये अपडेट आपके लिए हैं, अगर:
- आप आईडीपी (IdP) के तौर पर, फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल कर रहे/रही हैं.
- आप एक आईडीपी या आरपी हैं और आपको अपने काम के हिसाब से एपीआई का इस्तेमाल करना है. उदाहरण के लिए, आपने FedID CG रिपॉज़िटरी पर हुई चर्चा देखी है या उसमें हिस्सा लिया है और आपको एपीआई में किए गए बदलावों के बारे में जानना है.
- आप एक ब्राउज़र वेंडर हैं और एपीआई के लागू होने की स्थिति के बारे में जानना है.
अगर आपने इस एपीआई का इस्तेमाल पहले नहीं किया है या आपने अभी तक इसे इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी पढ़ें.
बदलावों का लॉग
FedCM API में हुए बदलावों के बारे में अपडेट पाने के लिए, हमारा ब्लॉग या न्यूज़लेटर देखें.
Chrome 125 (अप्रैल 2024)
- स्पेसिफ़िकेशन में, "खातों की सूची के एंडपॉइंट" का नाम बदलकर "खाते के एंडपॉइंट" कर दिया गया है. इसलिए, हमारे दस्तावेज़ उसी हिसाब से अलाइन किए गए हैं.
- बटन मोड एपीआई का ऑरिजिन ट्रायल, Chrome डेस्कटॉप 125 पर उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM अपडेट: बटन मोड एपीआई ऑरिजिन ट्रायल, सीओआरएस, और SameSite पर जाएं.
- सीओआरएस को Chrome 125 और उसके बाद के वर्शन पर लागू होने वाले आईडी दावे के एंडपॉइंट पर लागू किया गया है.
- Chrome 125 से, आईडी पता लगाने वाले एंडपॉइंट और खातों के एंडपॉइंट को सिर्फ़
SameSite=None
के तौर पर मार्क की गई कुकी भेजेगा.
Chrome 123 (फ़रवरी 2024)
- Domain Hint API के लिए सहायता जोड़ी गई. डोमेन हिंट एपीआई, आरपी को FedCM API कॉल पर
domainHint
प्रॉपर्टी तय करने की अनुमति देता है, ताकि उपयोगकर्ता से मिलते-जुलते खाते ही दिखाए जा सकें.
Chrome 122 (जनवरी 2024)
- डिसकनेक्ट एपीआई के लिए सहायता जोड़ी गई. डिसकनेक्ट एपीआई, तीसरे पक्ष की कुकी के बिना, आरपी को अपने उपयोगकर्ताओं को आईडीपी (IdP) के खाते से डिसकनेक्ट करने की अनुमति देता है.
- आरपी और आईडीपी (IdP) एक ही साइट पर हों, इसलिए जांच करने की सुविधा
/.well-known/web-identity
को स्किप कर दिया जाता है. - सबरिसॉर्स अब एक ही साइट पर लॉगिन की स्थिति सेट कर सकते हैं.
Chrome 121 (दिसंबर 2023)
- FedCM के अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर करने के लिए आसान शर्त:
- FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आ रहा है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन करना होगा. शुरुआत में यह सुविधा, पहचान देने वाली सेवा (आईडीपी) होने का दिखावा करने वाले ट्रैकर के जोखिम को कम करने के लिए शुरू की गई थी. साथ ही, उपयोगकर्ता को बताए बिना या उसकी जानकारी के बिना, उसकी अपने-आप पुष्टि करने के लिए, ब्राउज़र को धोखा दिया गया था. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता के फ़ायदे की गारंटी नहीं दे सकता. FedCM, तीसरे पक्ष की कुकी की मदद से कुछ सुविधाएं ही उपलब्ध कराता है. इसलिए, अगर आरपी के कॉन्टेक्स्ट के हिसाब से ट्रैकर के पास पहले से ही तीसरे पक्ष की कुकी का ऐक्सेस है, तो FedCM के ऐक्सेस से निजता को कोई खतरा नहीं होता है.
तीसरे पक्ष की कुकी का इस्तेमाल कानूनी तौर पर किया जा सकता है. साथ ही, इस स्थिति में छूट देने से उपयोगकर्ता अनुभव बेहतर होगा. इसलिए, अब Chrome 121 का इस्तेमाल किया जा रहा है. हमने शर्त पर लगी पाबंदी में रियायत दी है, ताकि उपयोगकर्ता को वापस लौटने वाला उपयोगकर्ता माना जा सके: अगर आरपी के कॉन्टेक्स्ट पर आईडीपी के लिए तीसरे पक्ष की कुकी उपलब्ध हैं, तो Chromeapproved_clients
की सूची में बताए गए उपयोगकर्ता के खाते की स्थिति के बारे में, आईडीपी के दावे पर भरोसा करेगा. साथ ही, लागू होने पर, उपयोगकर्ता की फिर से पुष्टि करने की सुविधा को अपने-आप ट्रिगर कर देगा. तीसरे पक्ष की कुकी: इनमें उपयोगकर्ता सेटिंग, एंटरप्राइज़ की नीतियां, अनुभव से जुड़ी जानकारी (Safari, Firefox, Chrome) और दूसरे वेब प्लैटफ़ॉर्म के एपीआई (जैसे, स्टोरेज के ऐक्सेस एपीआई) शामिल हैं. ध्यान दें कि अगर आने वाले समय में आईडीपी (IdP) तीसरे पक्ष की कुकी का ऐक्सेस खो देता है, लेकिन किसी उपयोगकर्ता ने पहले कभी भी FedCM यूज़र इंटरफ़ेस (यूआई) की अनुमति (उदाहरण के लिए, इस रूप में जारी रखें बटन पर क्लिक करना) नहीं दी है, तब भी उसे नया उपयोगकर्ता माना जाएगा.
डेवलपर को कोई कार्रवाई करने की ज़रूरत नहीं है. ध्यान दें कि अगर आईडीपी (IdP) के पास तीसरे पक्ष की कुकी का ऐक्सेस है और यह दावा किया गया है कि उपयोगकर्ता ने पहले आरपी पर खाता बनाया है, तो इस बदलाव से अपने-आप फिर से पुष्टि करने की प्रोसेस ज़्यादा ट्रिगर हो सकती है.
- FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आ रहा है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन करना होगा. शुरुआत में यह सुविधा, पहचान देने वाली सेवा (आईडीपी) होने का दिखावा करने वाले ट्रैकर के जोखिम को कम करने के लिए शुरू की गई थी. साथ ही, उपयोगकर्ता को बताए बिना या उसकी जानकारी के बिना, उसकी अपने-आप पुष्टि करने के लिए, ब्राउज़र को धोखा दिया गया था. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता के फ़ायदे की गारंटी नहीं दे सकता. FedCM, तीसरे पक्ष की कुकी की मदद से कुछ सुविधाएं ही उपलब्ध कराता है. इसलिए, अगर आरपी के कॉन्टेक्स्ट के हिसाब से ट्रैकर के पास पहले से ही तीसरे पक्ष की कुकी का ऐक्सेस है, तो FedCM के ऐक्सेस से निजता को कोई खतरा नहीं होता है.
Chrome 120 (नवंबर 2023)
- Chrome 120 में इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
- लॉगिन स्टेटस एपीआई: लॉगिन स्टेटस एपीआई एक ऐसा तरीका है जिसमें वेबसाइट, खास तौर पर आईडीपी, उपयोगकर्ता के लॉगिन स्टेटस की जानकारी देती है. इस एपीआई की मदद से, ब्राउज़र, आईडीपी (IdP) से किए जाने वाले गैर-ज़रूरी अनुरोधों को कम कर सकता है और टाइमिंग हमलों को कम कर सकता है. FedCM के लिए, लॉगिन स्टेटस एपीआई ज़रूरी है.
इस बदलाव के बाद, तीसरे पक्ष की कुकी ब्लॉक होने पर, FedCM को चालू करने के लिए
chrome://flags/#fedcm-without-third-party-cookies
फ़्लैग की ज़रूरत नहीं होगी. - गड़बड़ी एपीआई: Error API, आईडीपी (IdP) से मिली गड़बड़ी की जानकारी के साथ ब्राउज़र का यूज़र इंटरफ़ेस (यूआई) दिखाकर उपयोगकर्ता को इसकी सूचना देता है.
- Auto-Selected Flag API: अपने-आप फिर से पुष्टि होने या कोई साफ़ मीडिएशन होने पर, Auto-Selected Flag API यह शेयर करता है कि क्या आईडीपी और आरपी, दोनों के साथ इस रूप में जारी रखें बटन पर टैप करके, उपयोगकर्ता से साफ़ तौर पर अनुमति ली गई या नहीं. आईडीपी (IdP) और आरपी कम्यूनिकेशन के लिए, उपयोगकर्ता की अनुमति मिलने के बाद ही जानकारी शेयर की जाती है.
- लॉगिन स्टेटस एपीआई: लॉगिन स्टेटस एपीआई एक ऐसा तरीका है जिसमें वेबसाइट, खास तौर पर आईडीपी, उपयोगकर्ता के लॉगिन स्टेटस की जानकारी देती है. इस एपीआई की मदद से, ब्राउज़र, आईडीपी (IdP) से किए जाने वाले गैर-ज़रूरी अनुरोधों को कम कर सकता है और टाइमिंग हमलों को कम कर सकता है. FedCM के लिए, लॉगिन स्टेटस एपीआई ज़रूरी है.
इस बदलाव के बाद, तीसरे पक्ष की कुकी ब्लॉक होने पर, FedCM को चालू करने के लिए
Chrome 117 (सितंबर 2023)
- Chrome 117 से, Android पर आईडीपी साइन-इन स्टेटस एपीआई का ऑरिजिन ट्रायल उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह में जाएं.
Chrome 116 (अगस्त 2023)
- Chrome 116 में इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
- लॉगिन हिंट एपीआई: साइन इन करने के लिए पसंदीदा उपयोगकर्ता खाता चुनें.
- User Info API: लौटने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (आईडीपी) किसी iframe में जाकर, अपने हिसाब से साइन-इन करने का बटन रेंडर कर सके.
- RP कॉन्टेक्स्ट एपीआई: FedCM डायलॉग में 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें.
- आईडीपी (IdP) साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल की सुविधा उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह में जाएं.
Chrome 115 (जून 2023)
- अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई. इससे उपयोगकर्ता, FedCM की मदद से पहली बार पुष्टि करने के बाद, अपने-आप फिर से पुष्टि करने की सुविधा का इस्तेमाल कर सकते हैं. इससे उपयोगकर्ता अनुभव बेहतर होता है और शुरुआती पुष्टि के बाद, आरपी की फिर से पुष्टि करने में आसानी होती है. FedCM की अपने-आप फिर से पुष्टि करने के बारे में ज़्यादा जानें.
Chrome 110 (फ़रवरी 2023)
- आईडी दावे के एंडपॉइंट के लिए, आईडीपी को
Referer
हेडर के बजायOrigin
हेडर की जांच करनी होगी. इससे यह पता चलेगा कि वैल्यू, क्लाइंट आईडी के ऑरिजिन से मेल खाती है या नहीं. - FedCM के लिए क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. एम्बेड करने वाले व्यक्ति को अनुमतियों से जुड़ी नीति
identity-credentials-get
के बारे में बताना चाहिए, ताकि एम्बेड किए गए क्रॉस-ऑरिजिन iframe में FedCM API को अनुमति दी जा सके. क्रॉस-ऑरिजिन iframe का उदाहरण देखें. - Chrome का नया फ़्लैग
chrome://flags/#fedcm-without-third-party-cookies
जोड़ा गया. इस फ़्लैग की मदद से, तीसरे पक्ष की कुकी को ब्लॉक करके, Chrome में FedCM फ़ंक्शन की जांच की जा सकती है. ज़्यादा जानकारी के लिए, FedCM के दस्तावेज़ देखें.
Chrome 108 (अक्टूबर 2022)
- दस्तावेज़ में "टॉप-लेवल मेनिफ़ेस्ट" को अब "लोकप्रिय फ़ाइल" कहा जाता है. लागू करने के लिए किसी बदलाव की ज़रूरत नहीं है.
- दस्तावेज़ में, "IdP मेनिफ़ेस्ट" को अब "config फ़ाइल" कहा जाता है. लागू करने में कोई बदलाव करने की ज़रूरत नहीं है.
- "config फ़ाइल" में
id_token_endpoint
का नाम बदलकरid_assertion_endpoint
कर दिया गया है. - आईडीपी (IdP) के अनुरोध में, अब
Sec-FedCM-CSRF: ?1
हेडर के बजायSec-Fetch-Dest: webidentity
हेडर शामिल होता है.
Chrome 105 (अगस्त 2022)
- दस्तावेज़ में, सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई है. आइडेंटिटी प्रोवाइडर (आईडीपी) को यह देखना होगा कि
Referer
हेडर, आईडी टोकन एंडपॉइंट पर पहले से रजिस्टर किए गए ऑरिजिन से मैच करता है या नहीं. - टॉप-लेवल मेनिफ़ेस्ट का नाम बदलकर
/.well-known/fedcm.json
से/.well-known/web-identity
कर दिया गया है. साथ ही,provider_urls
में दिए गए यूआरएल में फ़ाइल का नाम शामिल होना चाहिए. FederatedCredential
इंस्टेंस परlogin()
,logout()
, औरrevoke()
तरीके अब उपलब्ध नहीं हैं.- फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई अब
FederatedCredential
के बजाय,IdentityCredential
के नए टाइप का इस्तेमाल करता है. इसका इस्तेमाल सुविधा की पहचान करने के लिए किया जा सकता है, लेकिन यह काफ़ी हद तक न दिखने वाला बदलाव है. - लॉगिन फ़ंक्शन को
navigator.credentials.get()
औरFederatedCredential.prototype.login()
के कॉम्बिनेशन सेnavigator.credentials.get()
पर ले जाएं. - मेनिफ़ेस्ट में अब सहमति रद्द करने का एंडपॉइंट काम नहीं करता है.
navigator.credentials.get()
कॉल के लिए,federated
फ़ील्ड के बजायidentity
फ़ील्ड का इस्तेमाल करें.url
अबconfigURL
है. इसेnavigator.credentials.get()
कॉल के पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए.nonce
अबnavigator.credentials.get()
के लिए एक वैकल्पिक पैरामीटर है.navigator.credentials.get()
के विकल्प के तौर पर, अबhint
उपलब्ध नहीं है.
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (जून 2022)
- आईडी टोकन एंडपॉइंट पर भेजा गया
consent_acquired
पैरामीटर अबdisclosure_text_shown
है. इस वैल्यू में कोई बदलाव नहीं हुआ है. - IdP मेनिफ़ेस्ट के ब्रैंडिंग आइकॉन ने SVG इमेज का इस्तेमाल करना बंद कर दिया है, लेकिन अब इन्हें आरपी की कॉन्टेंट की सुरक्षा के बारे में नीति के तहत अनुमति देने की ज़रूरत नहीं है.
Chrome 103 (मई 2022)
- इसे डेस्कटॉप पर भी इस्तेमाल किया जा सकता है.
- डेस्कटॉप पर हर आरपी की सेटिंग का इस्तेमाल किया जा सकता है.
- क्लाइंट मेटाडेटा एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल भी ज़रूरी नहीं है.
- दस्तावेज़ में सीएसपी
connect-src
का इस्तेमाल करने के बारे में एक चेतावनी जोड़ी गई.