Federated Credential Management API 已在 Chrome 108 中推出,但预计将继续改进。我们没有计划进行任何破坏性更改。
这些更新的受众是谁?
如果您符合以下情况,那么这些更新适用于您:
- 您是使用 Federated Credential Management API 的 IdP。
- 您是 IdP 或 RP,有兴趣扩展此 API 以适应您的用例 - 例如,您一直在观察或参与 FedID CG 代码库的讨论,并希望了解对 API 所做的更改。
- 您是浏览器供应商,并希望了解该 API 的实现状态。
如果您刚开始接触此 API,或尚未试用过此 API,请参阅 Federated Credential Management API 简介。
更新日志
如需及时了解 FedCM API 变更的最新动态,请参阅我们的博客或简报。
Chrome 125(2024 年 4 月)
- 由于该规范将“帐号列表端点”的名称更新为“帐号端点”,因此我们的文档也相应地进行了调整。
- Button Mode API 源试用已在 Chrome 桌面版 125 中推出。如需了解详情,请参阅 FedCM 更新:Button Mode API 源试用、CORS 和 SameSite。
- 从 Chrome 125 开始,ID 断言端点上会强制执行 CORS。
- 从 Chrome 125 开始,Chrome 只会将明确标记为
SameSite=None
的 Cookie 发送到 ID 断言端点和帐号端点。
Chrome 123(2024 年 2 月)
- 新增了对 Domain Hint API 的支持。Domain Hint API 允许 RP 在 FedCM API 调用中指定
domainHint
属性,以仅显示与用户匹配的帐号。
Chrome 122(2024 年 1 月)
- 添加了对 Disconnect API 的支持。借助 Disconnect API,RP 无需依赖第三方 Cookie 即可将其用户与 IdP 帐号断开连接。
- 现在,当 RP 和 IdP 为同一网站时,系统会跳过检查
/.well-known/web-identity
。 - 子资源现在可以设置同网站登录状态。
Chrome 121(2023 年 12 月)
- 触发 FedCM 自动重新身份验证的放宽条件:
- FedCM 中的自动重新身份验证功能仅在用户返回时触发。这意味着用户需要在每个浏览器实例上使用 FedCM 登录一次 RP,然后才能触发自动重新身份验证。最初引入该条件是为了降低跟踪器冒充身份提供方 (IdP) 并诱骗浏览器在用户不知情或未同意的情况下自动重新验证其身份的风险。但是,如果跟踪器有权访问 RP 上下文中的第三方 Cookie,此设计无法保证在隐私保护方面优势。FedCM 仅提供可通过第三方 Cookie 实现的部分功能,因此,如果跟踪器已经有权访问 RP 上下文中的第三方 Cookie,那么访问 FedCM 不会带来额外的隐私风险。
由于第三方 Cookie 是合法用途,而放宽条件将会改善用户体验,因此从 Chrome 121 开始,此行为将发生变化。我们决定放宽条件限制,将用户视为回访用户:如果第三方 Cookie 在 RP 上下文中可供 IdP 使用,Chrome 会信任该 IdP 对通过approved_clients
列表指定的用户帐号状态的声明,并触发自动重新身份验证(如果适用)。可通过以下途径使用第三方 Cookie:用户设置、企业政策、启发式算法(Safari、Firefox、Chrome)和其他网络平台 API(例如 Storage Access API)。请注意,如果 IdP 将来不再允许第三方 Cookie 访问,而用户之前未在 FedCM 界面上明确授予权限(例如,点击 Continue as 按钮),则仍会被视为新用户。
开发者无需采取任何行动。请注意,如果 IdP 具有第三方 Cookie 访问权限并声明用户过去已在 RP 上创建了帐号,则此更改可能会触发自动重新身份验证流程。
- FedCM 中的自动重新身份验证功能仅在用户返回时触发。这意味着用户需要在每个浏览器实例上使用 FedCM 登录一次 RP,然后才能触发自动重新身份验证。最初引入该条件是为了降低跟踪器冒充身份提供方 (IdP) 并诱骗浏览器在用户不知情或未同意的情况下自动重新验证其身份的风险。但是,如果跟踪器有权访问 RP 上下文中的第三方 Cookie,此设计无法保证在隐私保护方面优势。FedCM 仅提供可通过第三方 Cookie 实现的部分功能,因此,如果跟踪器已经有权访问 RP 上下文中的第三方 Cookie,那么访问 FedCM 不会带来额外的隐私风险。
Chrome 120(2023 年 11 月)
- 在 Chrome 120 中添加了对以下三项功能的支持:
- Login status API:Login status API 是一种机制,在这种机制中,网站(尤其是 IdP)会将用户的登录状态告知浏览器。借助此 API,浏览器可以减少对 IdP 的不必要请求并缓解潜在的计时攻击。LoginStatus API 是 FedCM 的一项要求。进行此更改后,在第三方 Cookie 被屏蔽时,不再需要使用
chrome://flags/#fedcm-without-third-party-cookies
标志来启用 FedCM。 - Error API:Error API 通过在浏览器界面中显示 IdP 提供的错误信息来通知用户。
- Auto-Selected Flag API:每当发生自动重新验证或发生显式中介时,Auto-Selected Flag API 都会与 IdP 和 RP 共享是否通过点按以此身份继续按钮获得了明确的用户权限。只有在获得 IdP 和 RP 通信的用户权限后,才会进行共享。
- Login status API:Login status API 是一种机制,在这种机制中,网站(尤其是 IdP)会将用户的登录状态告知浏览器。借助此 API,浏览器可以减少对 IdP 的不必要请求并缓解潜在的计时攻击。LoginStatus API 是 FedCM 的一项要求。进行此更改后,在第三方 Cookie 被屏蔽时,不再需要使用
Chrome 117(2023 年 9 月)
- 从 Chrome 117 开始,Android 设备将支持 Idp Sign-InStatus API 的源试用。如需了解详情,请参阅 FedCM 更新:IdP 登录状态 API、登录提示等。
Chrome 116(2023 年 8 月)
- 在 Chrome 116 中添加了对以下三项功能的支持:
- Login Hint API:指定要登录的首选用户帐号。
- User Info API:提取回访用户的信息,以便身份提供方 (IdP) 在 iframe 中呈现个性化登录按钮。
- RP Context API:在 FedCM 对话框中使用与“登录”不同的标题。
- IdP Sign-InStatus API 的源试用现已推出。如需了解详情,请参阅 FedCM 更新:IdP 登录状态 API、登录提示等。
Chrome 115(2023 年 6 月)
- 新增了对自动重新身份验证的支持,该功能可让用户在使用 FedCM 进行初始身份验证后返回时自动重新进行身份验证。这有助于改善用户体验,并在初始身份验证后更轻松地向 RP 重新进行身份验证。详细了解 FedCM 自动重新身份验证。
Chrome 110(2023 年 2 月)
- 对于 ID 断言端点,IdP 需要检查
Origin
标头(而不是Referer
标头),以查看该值是否与客户端 ID 的来源匹配。 - FedCM 现已支持跨源 iframe。嵌入器应指定 Permissions-Policy
identity-credentials-get
以允许在嵌入式跨源 iframe 中使用 FedCM API。您可以查看跨源 iframe 的示例。 - 添加了新的 Chrome flag
chrome://flags/#fedcm-without-third-party-cookies
。借助此标志,您可以通过阻止第三方 Cookie 在 Chrome 中测试 FedCM 功能。如需了解详情,请参阅 FedCM 文档。
Chrome 108(2022 年 10 月)
- “顶级清单”在文档中现已更名为“已知文件”。 无需更改任何实现。
- “IdP 清单”在文档中现已更名为“配置文件”。您无需更改任何实现。
- “配置文件”中的
id_token_endpoint
已重命名为id_assertion_endpoint
。 - 现在,发送到 IdP 的请求包含
Sec-Fetch-Dest: webidentity
标头,而不是Sec-FedCM-CSRF: ?1
标头。
Chrome 105(2022 年 8 月)
- 向文档添加了重要的安全信息。身份提供方 (IdP) 需要检查
Referer
标头是否与提前在 ID 令牌端点上注册 RP 的来源匹配。 - 顶级清单已从
/.well-known/fedcm.json
重命名为/.well-known/web-identity
,provider_urls
中指定的网址应包含文件名。 FederatedCredential
实例上的login()
、logout()
和revoke()
方法不再可用。- Federated Credential Management API 现在使用新的类型
IdentityCredential
,而不是FederatedCredential
。这可用于特征检测,但除此之外,这属于很大程度上不可见的更改。 - 将登录功能从
navigator.credentials.get()
和FederatedCredential.prototype.login()
的组合移至navigator.credentials.get()
。 - 清单中的撤消端点不再有效。
- 针对
navigator.credentials.get()
调用使用identity
字段,而不是federated
字段。 url
现在为configURL
,且必须是清单 JSON 文件的完整网址,而不是navigator.credentials.get()
调用的路径。nonce
现在是navigator.credentials.get()
的可选参数。hint
不再作为navigator.credentials.get()
的选项提供。
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104(2022 年 6 月)
- 发送到 ID 令牌端点的
consent_acquired
参数现在为disclosure_text_shown
。值保持不变。 - IdP 清单中的品牌图标不再支持 SVG 图片,但 RP 的内容安全政策不再需要其许可。
Chrome 103(2022 年 5 月)
- 支持桌面环境。
- 支持桌面设备上的每个 RP 设置。
- 客户端元数据端点现在是可选的。在此端点中,隐私权政策网址也是可选的。
- 在文档中添加了有关使用 CSP
connect-src
的注意事项。