המדריך הזה יעזור לכם להבין את השינויים באפליקציית האינטרנט שלכם שנוצר על ידי Federated Credentials Management API (FedCM).
כש-FedCM מופעל, הדפדפן מציג הודעות ממשתמשים ולא צד שלישי בשימוש בקובצי Cookie.
סקירה כללית
FedCM מאפשר כניסה פרטית יותר בלי צורך בשימוש קובצי Cookie של צד שלישי. הדפדפן שולט בהגדרות המשתמש, מציג הודעות ממשתמשים ויוצרים קשר רק עם ספק זהויות, כמו Google לאחר משתמש מפורש כאשר ניתנת הסכמה.
ברוב האתרים ההעברה מתבצעת בצורה חלקה באמצעות תאימות לאחור עדכונים לספריית ה-JavaScript של Google Identity Services.
עדכונים לגבי התכונה 'כניסה אוטומטית'
גרסת הבטא של Federated Credential Management (FedCM) ל-Google Identity Services באוגוסט 2023. מפתחים רבים בדקו את ה-API וסיפקו משוב חשוב.
אחת מהתגובות ש-Google שמעה ממפתחים לגבי הכניסה האוטומטית ל-FedCM דרישה לתנועת משתמש. כדי לשפר את הפרטיות, Chrome דורש מהמשתמשים לאשר שוב שהם רוצים להיכנס לאתר עם חשבון Google בכל אחד מופע של Chrome, גם אם המשתמש אישר את האתר לפני ה-FedCM בהשקה. האישור החד-פעמי הזה מתבצע בלחיצה אחת על הודעה בהקשה אחת שממחישה את כוונת המשתמש להיכנס לחשבון. שינוי זה עלול לגרום שיבוש ראשוני בשיעורי ההמרות של כניסה אוטומטית באתרים מסוימים.
לאחרונה בגרסה M121 בוצע ב-Chrome שינוי בכניסה האוטומטית ל-FedCM. UX. צריך לשלוח אישור מחדש רק כשצריך קובצי Cookie של צד שלישי מוגבלת. כלומר:
הכניסה האוטומטית של FedCM לא מחייבת אישור מחדש עבור משתמשים חוזרים. אם המשתמשים יאשרו מחדש באמצעות ממשק המשתמש של FedCM, האישור מחדש ייחשב לצורך דרישה לגבי תנועת משתמש בתקופה שאחרי 3PCD.
בכניסה האוטומטית של FedCM, ייבדק סטטוס האישור מחדש כאשר משתמשים היום מגבילים את קובצי ה-Cookie של צד שלישי באופן ידני, או כברירת מחדל ב-Chrome בעתיד.
בעקבות השינוי הזה, אנחנו ממליצים לכל המפתחים של כניסה אוטומטית לעבור ל-FedCM בהקדם האפשרי, כדי לצמצם את ההפרעה בשיעורי ההמרות של כניסה אוטומטית.
בתהליך הכניסה האוטומטית, GIS JavaScript לא יפעיל את FedCM בגרסה ישנה יותר Chrome (לפני M121), גם אם באתר שלכם מותר להפעיל את FedCM.
הבדלים בתהליך שעובר המשתמש
חוויית One Tap באמצעות FedCM וללא FedCM דומה רק עם הבדלים קלים.
משתמש חדש עם סשן יחיד
בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.
שימוש ב-FedCM | ללא FedCM |
---|---|
|
|
משתמש חוזר בעל סשן יחיד (כאשר הכניסה האוטומטית מושבתת)
בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.
שימוש ב-FedCM | ללא FedCM |
---|---|
|
|
משתמש חוזר בעל סשן יחיד (עם כניסה אוטומטית מופעלת)
באמצעות FedCM, משתמשים יכולים ללחוץ על X כדי לבטל את הכניסה האוטומטית תוך 5 במקום ללחוץ על הלחצן ביטול.
שימוש ב-FedCM | ללא FedCM |
---|---|
|
|
סשנים מרובים
בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.
שימוש ב-FedCM | ללא FedCM |
---|---|
|
|
לפני שמתחילים
ודאו שהגדרות הדפדפן והגרסה שלכם תומכות ב-FedCM API. מומלץ לעדכן לגרסה העדכנית ביותר.
FedCM API זמין ב-Chrome בגרסה 117 ואילך.
ההגדרה כניסה של צד שלישי מופעלת ב-Chrome.
אם דפדפן Chrome הוא בגרסה 119 או גרסאות קודמות, פותחים את
chrome://flags
. להפעיל את התכונה הניסיוניתFedCmWithoutThirdPartyCookies
. השלב הזה לא צריך את זה בדפדפן Chrome מגרסה 120 ואילך.
העברה של אפליקציית האינטרנט
יש לפעול לפי השלבים הבאים כדי להפעיל את FedCM, להעריך את ההשפעה הפוטנציאלית של ההעברה, במקרה הצורך כדי לבצע שינויים באפליקציית האינטרנט הקיימת:
1. מוסיפים דגל בוליאני כדי להפעיל את FedCM במהלך אתחול באמצעות:
HTML, מגדירים את המאפיין
data-use_fedcm_for_prompt
ל-true
.JavaScript, מגדירים את
use_fedcm_for_prompt
ל-true
ב אובייקטIdConfiguration
.
2. מסירים את השימוש בשיטות isDisplayMoment()
, isDisplayed()
, isNotDisplayed()
ו-getNotDisplayedReason()
בקוד.
כדי לשפר את פרטיות המשתמשים, google.accounts.id.prompt
מחזירה יותר זמן של כל התראה על רגע התצוגה
אובייקט PromptMomentNotication
. הסירו כל קוד שתלוי
הצגת שיטות שקשורות לרגעים. המשתתפים הם isDisplayMoment()
, isDisplayed()
,
isNotDisplayed()
ו-getNotDisplayedReason()
methods.
3. מסירים את השימוש ב-method getSkippedReason()
בקוד.
לרגע הדילוג, isSkippedMoment()
, עדיין תתבצע קריאה מהשלב
קריאה חוזרת של google.accounts.id.prompt
אל PromptMomentNotication
לא נוכל להסביר את הסיבה. מסירים כל קוד שתלוי ב-
השיטה getSkippedReason()
מהקוד שלכם.
חשוב לשים לב שההתראה לגבי הרגע שסגרת, isDismissedMoment()
וגם
שיטת הסיבה המפורטת הקשורה, getDismissedReason()
, לא השתנתה
כש-FedCM מופעל.
4. מסירים position
מאפייני סגנון מ-data-prompt_parent_id
ומ-intermediate_iframes
.
הדפדפן קובע את הגודל והמיקום של הנחיות המשתמש, מיקומים מותאמים אישית התכונה 'הקשה אחת על שולחן העבודה' לא נתמכת.
5. מעדכנים את פריסת הדף לפי הצורך.
הדפדפן קובע את הגודל והמיקום של ההצעות לפעולה שמוצגות למשתמשים. בהתאם ל-
הפריסה של דפים נפרדים, חלק מהתוכן עשוי להופיע בשכבת-על של התאמה אישית
מיקומים עבור One Tap on Desktop אינם נתמכים בשום צורה,
מאפיין סגנון, data-prompt_parent_id
,
intermediate_iframes
, iframe מותאם אישית ודרכים יצירתיות אחרות.
שינוי של פריסת הדף כדי לשפר את חוויית המשתמש כשיש מידע חשוב מוסתר. אל תעצבו את חוויית המשתמש בהתאם להנחיה בהקשה אחת, גם אם הוא במיקום ברירת המחדל. מכיוון ש-FedCM API מותאם לדפדפן, ייתכן שספקי דפדפנים שונים מציבים מעט את מיקום ההנחיה אחרת.
6. יש להוסיף את המאפיין allow="identity-credentials-get"
למסגרת ההורה אם אפליקציית האינטרנט קוראת ל-One Tap API מרכיבי iframe ממקורות שונים.
iframe נחשב כזמין ממקורות שונים אם הערך origin לא זהה לחלוטין מקור ההורה. לדוגמה:
- דומיינים שונים:
https://example1.com
ו-https://example2.com
- דומיינים שונים ברמה העליונה:
https://example.uk
ו-https://example.jp
תת-דומיינים:
https://example.com
ו-https://login.example.com
כדי לשפר את פרטיות המשתמשים, כשמתבצעת קריאה ל-One Tap API דרך מסגרות iframe ממקורות שונים, עליך להוסיף
allow="identity-credentials-get"
בכל תגiframe
מסגרת הורה:<iframe src="https://your.cross-origin/onetap.page" allow="identity-credentials-get"></iframe>
אם באפליקציה שלך נעשה שימוש ב-iframe שמכיל iframe אחר, עליך מוודאים שהמאפיין מתווסף לכל iframe, כולל לכל מסגרות המשנה iframe.
למשל, נבחן את התרחיש הבא:
המסמך העליון (
https://www.example.uk
) מכיל iframe בשם "Iframe" A", שמטמיע דף (https://logins.example.com
).הדף המוטמע הזה (
https://logins.example.com
) מכיל גם iframe בשם "Iframe B", שמטמיע דף נוסף (https://onetap.example2.com
) שמארח את One Tap.כדי להבטיח שאפשר יהיה להציג את התוכן בהקשה אחת כמו שצריך, צריך להוסיף את המאפיין בין תגי iframe A ו-Iframe B.
הכנות לבירורים בנושא ההודעה בהקשה אחת שלא מוצגת. אתרים אחרים עם מקורות שונים עשויים להטמיע את הדפים שלך שמארחים בהקשה אחת במסגרות ה-iframe שלהם. ייתכן שיתקבלו כרטיסי תמיכה בכמות גדולה יותר שקשורה לתכונה 'הקשה אחת' שלא מוצגת ממשתמשי קצה או מבעלי אתרים אחרים. בזמן רק בעלי האתר יכולים לבצע את העדכונים בדפים שלהם, אתה יכול לבצע כדי לצמצם את ההשפעה:
צריך לעדכן את תיעוד המפתח כך שיכלול הסבר על הגדרת ה-iframe כדי לקרוא לאתר שלך בצורה נכונה. אתם יכולים לקשר לדף הזה במסמכים שלכם.
אם רלוונטי, מעדכנים את דף השאלות הנפוצות למפתחים.
כדאי להודיע לצוות התמיכה על השינוי הקרוב ולהתכונן לתגובה עם השאלה הזו מראש.
יוצרים קשר באופן יזום עם השותפים, הלקוחות או בעלי האתרים שהושפעו מהבעיה מעבר חלק ב-FedCM.
7. מוסיפים את ההנחיות האלה ל-Content Security Policy (CSP).
השלב הזה הוא אופציונלי, כי לא כל האתרים בוחרים להגדיר מדיניות CSP.
אם לא נעשה שימוש ב-CSP באתר, אין צורך לבצע שינויים.
אם מדיניות ה-CSP פועלת בשיטה הנוכחית בהקשה אחת ואתה לא משתמש ב-
connect-src
,frame-src
,script-src
,style-src
אוdefault-src
לא בוצעו שינויים הדרושים.אם לא, פועלים לפי ההוראות במדריך הזה כדי להגדיר את ה-CSP. ללא CSP מתאים הגדרת FedCM One Tap לא תוצג באתר.
8. מסירים את התמיכה ב-Accelerated Mobile Pages (AMP) לכניסה.
תמיכה בכניסת משתמשים ל-AMP היא תכונה אופציונלית של GIS באפליקציית האינטרנט ליישם. במקרה כזה,
מוחקים את כל ההפניות אל:
amp-onetap-google
רכיב מותאם אישית, וגם<script async custom-element="amp-onetap-google" src="https://cdn.ampproject.org/v0/amp-onetap-google-0.1.js"></script>
כדאי להפנות את בקשות הכניסה מ-AMP אל כניסה ל-HTML של האתר . לתשומת ליבכם:
Intermediate Iframe Support API
הקשור הוא לא יושפע.
בדיקה ואימות של ההעברה
אחרי שתבצעו את השינויים הנדרשים לפי השלבים הקודמים, תוכלו לאמת ההעברה בוצעה בהצלחה.
מוודאים שהדפדפן תומך ב-FedCM ושיש לכם חשבון Google סשן בחשבון.
מנווטים לדפים באפליקציה בהקשה אחת.
מוודאים שההצעה 'הקשה אחת' מוצגת ומוצגת בשכבת-על בבטחה תוכן.
מוודאים שפרטי הכניסה הנכונים חוזרים לנקודת הקצה או לשיטת הקריאה החוזרת (callback) בעת הכניסה לאפליקציה באמצעות הקשה אחת.
אם הכניסה האוטומטית מופעלת, מוודאים שהביטול פועל ומתקנים פרטי הכניסה הנכונים חוזרים לנקודת הקצה או לשיטת הקריאה החוזרת (callback).
תקופת צינון בהקשה אחת
לחיצה על הסמל בהקשה אחת
בפינה השמאלית העליונה, הלחצן סוגר את ההנחיה ונכנסים לתקופת הצינון, מונע הצגה זמנית של ההנחיה בהקשה אחת. ב-Chrome, אם אם רוצים שההודעה בהקשה אחת תוצג שוב לפני שתקופת הצינון תסתיים, יכול לאפס את סטטוס הצינון על ידי לחיצה על סמל הנעילה בסרגל הכתובות לוחצים על הלחצן Reset Permissions.פרק זמן שקט לכניסה אוטומטית
כשבודקים כניסה אוטומטית בהקשה אחת באמצעות FedCM, נדרשות 10 דקות פרק זמן שקט בין כל ניסיון כניסה אוטומטי. התקופה השקטה לא יכולה להיות לאתחל. תצטרך להמתין 10 דקות או להשתמש בחשבון Google אחר לבדיקה כדי להפעיל שוב כניסה אוטומטית.
מקורות מידע שימושיים
כלי הניתוח של 'ארגז החול לפרטיות' (PSAT) הוא תוסף של כלי הפיתוח ל-Chrome כדי לסייע בשימוש בממשקי API חלופיים כמו FedCM. הוא פועל על ידי לסרוק את האתר שלך כדי לאתר את התכונות המושפעות ולהציג רשימה של שינויים.