क्रेडेंशियल मैनेजमेंट एपीआई की सुविधा का पता लगाने की सुविधा की जांच करना

Eiji Kitamura

खास जानकारी

WebAuthn को वेब पर सार्वजनिक-कुंजी के क्रेडेंशियल पर आधारित पुष्टि करने की सुविधा देकर, सुरक्षा बढ़ाने में मदद मिलती है. Chrome, Firefox, और Edge (नई शर्तों के साथ) में यह जल्द ही काम करने वाला है. यह एक नए तरह के Credential ऑब्जेक्ट को जोड़ता है. हालांकि, इससे क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल करने वाली वेबसाइटों में गड़बड़ी हो सकती है. साथ ही, यह पता नहीं चलता कि उपयोगकर्ता किस तरह के क्रेडेंशियल इस्तेमाल कर रहे हैं.

अगर फ़िलहाल, सुविधा की पहचान करने के लिए ऐसा किया जा रहा है

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // use CM API
}

इसके बजाय ये करें

if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.
}

if (window.PasswordCredential) {
    // Get/Store PasswordCredential
}

if (window.FederatedCredential) {
    // Get/Store FederatedCredential
}

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()
}

उदाहरण के तौर पर, सैंपल कोड में किए गए बदलाव देखें.

ज़्यादा जानने के लिए आगे पढ़ें.

क्रेडेंशियल मैनेजमेंट एपीआई क्या है

क्रेडेंशियल मैनेजमेंट एपीआई (CM एपीआई), वेबसाइटों को उपयोगकर्ता एजेंट के क्रेडेंशियल स्टोर पर प्रोग्राम के हिसाब से ऐक्सेस देता है. इससे, कॉलिंग ऑरिजिन के लिए उपयोगकर्ता के क्रेडेंशियल को सेव करने/वापस पाने में मदद मिलती है.

बेसिक एपीआई ये हैं:

  • navigator.credentials.get()
  • navigator.credentials.store()
  • navigator.credentials.create()
  • navigator.credentials.preventSilentAccess()

ओरिजनल CM एपीआई स्पेसिफ़िकेशन में दो तरह के क्रेडेंशियल के बारे में बताया गया है:

  • PasswordCredential
  • FederatedCredential

PasswordCredential ऐसा क्रेडेंशियल है जिसमें उपयोगकर्ता का आईडी और पासवर्ड शामिल होता है. FederatedCredential एक क्रेडेंशियल है, जिसमें उपयोगकर्ता का आईडी होता है. साथ ही, यह एक ऐसी स्ट्रिंग होती है जो आइडेंटिटी प्रोवाइडर के बारे में बताती है.

इन दो क्रेडेंशियल के साथ, वेबसाइटें ये काम कर सकती हैं:

  • उपयोगकर्ताओं के लैंडिंग पेज (अपने-आप साइन-इन) होते ही, उसे पहले से सेव किए गए पासवर्ड पर आधारित या फ़ेडरेटेड क्रेडेंशियल से साइन-इन करने की सुविधा दें.
  • उस पासवर्ड-आधारित या फ़ेडरेटेड क्रेडेंशियल को सेव किया जाता है जिससे उपयोगकर्ता ने साइन इन किया है.
  • उपयोगकर्ता के साइन-इन क्रेडेंशियल अप-टू-डेट रखें (उदाहरण के लिए, पासवर्ड बदलने के बाद)

WebAuthn क्या है

WebAuthn (वेब पुष्टि) की सुविधा, CM API में सार्वजनिक-कुंजी के क्रेडेंशियल जोड़ती है. उदाहरण के लिए, यह वेबसाइटों को एक ऐसा स्टैंडर्ड तरीका देता है जिससे वे FIDO 2.0 की नीतियों के मुताबिक पुष्टि करने वाले डिवाइसों का इस्तेमाल करके, सेकंड-फ़ैक्टर पुष्टि कर सकते हैं.

तकनीकी स्तर पर, WebAuthn PublicKeyCredential इंटरफ़ेस के साथ CM API को बढ़ाता है.

क्या समस्या है?

पहले हम डेवलपर को नीचे दिए गए कोड की मदद से, CM API का पता लगाने की सुविधा इस्तेमाल करने के लिए गाइड कर रहे हैं:

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
  // Use CM API
}

But as you can see from the descriptions above, the `navigator.credentials` is
now expanded to support public-key credentials in addition to password
credentials and federated credentials.

The problem is that user agents don't necessarily support all kinds of
credentials. If you continue feature detect using `navigator.credentials`, your
website may break when you are using a certain credential type not supported by
the browser.

**Supported credential types by browsers**
<table class="properties with-heading-tint"><tbody><tr>
<th></th>
<th>PasswordCredential / FederatedCredential</th>
<th>PublicKeyCredential</th>
</tr><tr><th>Chrome
</th><td>Available
</td><td>In development
</td></tr><tr><th>Firefox
</th><td>N/A
</td><td>Aiming to ship on 60
</td></tr><tr><th>Edge
</th><td>N/A
</td><td>Implemented with <a href="https://blogs.windows.com/msedgedev/2016/04/12/a-world-without-passwords-windows-hello-in-microsoft-edge/">older API</a>. New API (navigator.credentials) coming soon.
</td></tr></tbody></table>


## The solution
You can avoid this by modifying feature detection code as follows to explicitly
test for the credential type that you intend to use.

```js
if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.
}

if (window.PasswordCredential) {
    // Get/Store PasswordCredential
}

if (window.FederatedCredential) {
    // Get/Store FederatedCredential
}

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()
}

उदाहरण के तौर पर, सैंपल कोड में किए गए असल बदलाव देखें.

रेफ़रंस के लिए, WebAuthn में जोड़े गए PublicKeyCredential को ढूंढने का तरीका यहां बताया गया है:

if (window.PublicKeyCredential) {
    // use CM API with PublicKeyCredential added in the WebAuthn spec
}

टाइमलाइन

WebAuthn को सबसे पहले लागू करने के लिए Firefox का इस्तेमाल किया गया है. इसे मई 2018 की शुरुआत तक और ठीक से लागू किया जाएगा.

आखिरकार

अगर आपका कोई सवाल है, तो उसे @agektmr या agektmr@chromium.org पर भेजें.