Bağlı taraflar için geçiş anahtarı geliştirici kılavuzu

Geçiş anahtarlarını hizmetinize nasıl entegre edebileceğinizi öğrenin.

Geçiş anahtarı sisteminin anatomisi

Geçiş anahtarı sistemi birkaç bileşenden oluşur:

  • Bağlı taraf: Geçiş anahtarı bağlamında bağlı taraf (kısaca RP), geçiş anahtarı verme ve kimlik doğrulama işlemlerini gerçekleştirir. RP, bir istemci (geçiş anahtarları oluşturan veya geçiş anahtarlarıyla kimlik doğrulayan bir web sitesi veya uygulama) ve istemcideki geçiş anahtarları tarafından oluşturulan kimlik bilgilerini kaydetmek, depolamak ve doğrulamak için bir sunucu işletmelidir. Geçiş anahtarı mobil uygulaması, işletim sistemi tarafından sağlanan Dijital Öğe Bağlantıları gibi ilişkilendirme mekanizması kullanılarak bir RP sunucusu alanına bağlanmalıdır.
  • Authenticator: İşletim sisteminin sunduğu ekran kilidi özelliğini kullanarak geçiş anahtarları oluşturup doğrulayabilen cep telefonu, tablet, dizüstü veya masaüstü bilgisayar gibi bir bilgi işlem cihazı.
  • Şifre yöneticisi: Son kullanıcının cihazlarında yüklü olup geçiş anahtarlarını sunan, depolayan ve senkronize eden Google Şifre Yöneticisi gibi yazılımlardır.

Kayıt akışı

Yeni bir geçiş anahtarı oluşturmak ve kaydetmek için web sitesinde WebAuthn API'yi veya bir Android uygulamasında Kimlik Bilgisi Yöneticisi kitaplığını kullanın.

Yeni bir geçiş anahtarı oluşturmak için sağlamanız gereken birkaç temel bileşen vardır:

  • RP ID: Bağlı tarafın kimliğini web alanı biçiminde sağlayın.
  • Kullanıcı bilgileri: Kullanıcının kimliği, kullanıcı adı ve görünen adı.
  • Hariç tutulacak kimlik bilgileri: Yinelenen kaydı önlemek için önceden depolanan geçiş anahtarlarıyla ilgili bilgiler.
  • Geçiş anahtarı türleri: Cihazın kendisini ("platform kimlik doğrulayıcı") bir kimlik doğrulayıcı olarak mı yoksa çıkarılabilir bir güvenlik anahtarı ("platformlar arası / dolaşım kimlik doğrulayıcı") olarak mı kullanacağınız. Buna ek olarak, arayanlar kimlik bilgilerinin bulunabilir olup olmayacağını belirleyebilir. Böylece, kullanıcı oturum açmak için bir hesap seçebilir.

Bir RP, geçiş anahtarı oluşturma isteğinde bulunduğunda ve kullanıcı bunu ekran kilidiyle doğruladıktan sonra yeni bir geçiş anahtarı oluşturulur ve ortak anahtar kimlik bilgisi döndürülür. Bunu sunucuya gönderin ve kimlik bilgisi kimliği ile ortak anahtarı gelecekteki kimlik doğrulama işlemleri için saklayın.

Kayıt akışı

Geçiş anahtarı oluşturmayı ve kaydetmeyi ayrıntılı olarak öğrenin:

Kimlik doğrulama akışı

Kayıtlı bir geçiş anahtarıyla kimlik doğrulamak için web sitesinde WebAuthn API'yi veya Android uygulamasında Kimlik Bilgisi Yöneticisi kitaplığını kullanın.

Geçiş anahtarıyla kimlik doğrulamak için sağlamanız gereken birkaç temel bileşen vardır:

  • RP ID: Bağlı tarafın kimliğini web alanı biçiminde sağlayın.
  • Görev: Tekrar oynatma saldırılarını önleyen, sunucu tarafından oluşturulan bir giriş sorgulaması.

Bir RP, geçiş anahtarıyla kimlik doğrulama isteğinde bulunduğunda ve kullanıcı bunu ekran kilidiyle kimlik doğrulamayla doğruladığında ortak anahtar kimlik bilgisi döndürülür. Bunu sunucuya gönderin ve depolanan ortak anahtarla imzayı doğrulayın.

Kimlik doğrulama akışı

Geçiş anahtarıyla kimlik doğrulama hakkında ayrıntılı bilgi edinin:

Sunucu tarafı entegrasyonlar

Geçiş anahtarı oluşturulduktan sonra sunucunun; sorgulama, kullanıcı bilgileri, hariç tutulacak kimlik bilgisi kimlikleri gibi anahtar parametreleri sağlaması gerekir. Daha sonra, istemciden gönderilen, oluşturulan ortak anahtar kimlik bilgilerini doğrular ve ortak anahtarı veritabanında depolar. Geçiş anahtarıyla kimlik doğrulama yapılabilmesi için sunucunun kimlik bilgilerini dikkatlice doğrulaması ve kullanıcının oturum açabilmesi için imzayı doğrulaması gerekir.

Sunucu tarafı kılavuzlarımızda daha fazla bilgi edinin:

Mevcut (eski) kimlik doğrulama sistemleri

Mevcut hizmetinizde geçiş anahtarlarını desteklediğinizde, şifreler gibi daha eski bir kimlik doğrulama mekanizmasından şifre anahtarına geçiş işlemi bir gün içinde gerçekleşmez. Zayıf kimlik doğrulama yöntemini mümkün olan en kısa sürede kaldırmak isteyebileceğinizi biliyoruz, ancak bu durum kullanıcıların kafasını karıştırabilir veya bazı kullanıcıların geride kalmasına neden olabilir. Şimdilik mevcut kimlik doğrulama yöntemini kullanmaya devam etmenizi öneririz.

Bunun birkaç nedeni vardır:

  • Geçiş anahtarı uyumlu olmayan bir ortamda kullanıcılar var: Geçiş anahtarı desteği, birden fazla işletim sisteminde ve tarayıcıda geniş bir yelpazeye yayılıyor ancak eski sürümleri kullananlar henüz geçiş anahtarı kullanamamaktadır.
  • Geçiş anahtarı ekosistemi henüz olgunlaşmadı: Geçiş anahtarı ekosistemi gelişiyor. Farklı ortamlar arasındaki kullanıcı deneyimi ayrıntıları ve teknik uyumluluk iyileşebilir.
  • Kullanıcılar henüz geçiş anahtarıyla yaşamaya hazır olmayabilir: Yeni şeylere geçiş yapmakta tereddüt edenler vardır. Geçiş anahtarı ekosistemi olgunlaştıkça geçiş anahtarlarının işleyiş şekli ve onlar için neden faydalı olduğu hakkında fikir sahibi olurlar.

Mevcut kimlik doğrulama mekanizmanızı yeniden gözden geçirin

Geçiş anahtarları, kimlik doğrulama işleminizi daha basit ve daha güvenli hale getirse de eski mekanizmaları korumak boşluk bırakmak gibidir. Mevcut kimlik doğrulama mekanizmalarınızı yeniden ziyaret etmenizi ve iyileştirmenizi öneririz.

Şifreler

Güçlü şifreler oluşturmak ve bunları her web sitesi için yönetmek kullanıcılar için zorlu bir görevdir. Sistemde yerleşik veya bağımsız bir şifre yöneticisi kullanmanız kesinlikle önerilir. Web siteleri ve uygulamalar, oturum açma formunda ufak bir değişiklik yaparak güvenliğinde ve oturum açma deneyiminde büyük fark yaratabilir. Bu değişiklikleri nasıl yapabileceğinize göz atın:

İki faktörlü kimlik doğrulama

Şifre yöneticisi kullanmak kullanıcıların şifreleri ele almasına yardımcı olsa da tüm kullanıcılar tarafından kullanılmaz. Tek kullanımlık şifre (OTP) adı verilen ek kimlik bilgilerinin istenmesi, bu tür kullanıcıları korumak için yaygın olarak başvurulan bir uygulamadır. OTP'ler genellikle e-posta, SMS mesajı veya Google Authenticator gibi bir kimlik doğrulama uygulaması aracılığıyla sağlanır. OTP'ler genellikle yalnızca sınırlı bir zaman aralığı için dinamik olarak geçerli olan kısa metinler olduğundan hesabın ele geçirilme olasılığını azaltır. Bu yöntemler geçiş anahtarı kadar güçlü değildir ancak kullanıcılara yalnızca şifreyle bırakmaktan çok daha iyidir.

OTP gönderme yöntemi olarak SMS'i seçerseniz kullanıcı deneyiminin OTP'ye girmesini kolaylaştırmak için aşağıdaki en iyi uygulamalara göz atın.

Kimlik federasyonu

Kimlik federasyonu, kullanıcıların güvenli ve kolay bir şekilde oturum açmasına olanak tanıyan başka bir seçenektir. Kimlik federasyonu sayesinde web siteleri ve uygulamalar, kullanıcıların üçüncü taraf bir kimlik sağlayıcıdaki kullanıcı kimliğini kullanarak oturum açmasına izin verebilir. Örneğin, Google ile oturum açma, geliştiricilerin harika dönüşümler elde etmesini sağlar ve kullanıcılar, şifre tabanlı kimlik doğrulamaya kıyasla daha kolay ve tercih edilir. Kimlik federasyonu, geçiş anahtarlarını tamamlar. Geçiş anahtarları, yeniden kimlik doğrulamayı kolaylaştırmak için idealdir. Web sitesi veya uygulama, kullanıcının temel profil bilgilerini tek bir adımda elde edebilir. Bu nedenle, kaydolmak için idealdir.

Chrome, 2024'te üçüncü taraf çerezlerini kullanımdan kaldırdıktan sonra, oluşturulma şekillerine bağlı olarak bazı kimlik federasyon sistemlerinin bu durumdan etkilenebileceğini unutmayın. Etkiyi azaltmak için Federated Credential Management API (kısaca FedCM) adlı yeni bir tarayıcı API'si geliştiriliyor. Bir kimlik sağlayıcı işletiyorsanız ayrıntıları inceleyin ve FedCM'yi kullanmaya başlamanız gerekip gerekmediğini öğrenin.

Sihirli bağlantı ile oturum açma, bir hizmetin e-posta üzerinden, kullanıcının tıklayarak kendi kimliğini doğrulayabilmesi için bir giriş bağlantısı yayınladığı bir kimlik doğrulama yöntemidir. Bu, kullanıcıların şifre hatırlamadan oturum açmalarına yardımcı olsa da tarayıcı/uygulama ile e-posta istemcisi arasında geçiş yapmak kolay olmayabilir. Ayrıca, kimlik doğrulama mekanizması e-postaya bağlı olduğundan e-posta sağlayıcısının zayıf güvenliği, kullanıcının hesaplarını riske atabilir.

Eğitici kaynaklar

Web

Geçiş anahtarlarını web sitenize entegre etmek için Web Authentication API (WebAuthn) kullanın. Daha fazla bilgi için aşağıdaki kaynaklara göz atın:

Android

Geçiş anahtarlarını Android uygulamanıza entegre etmek için Kimlik Bilgisi Yöneticisi kitaplığını kullanın. Daha fazla bilgi için aşağıdaki kaynaklara göz atın:

kullanıcı deneyimi

Geçiş anahtarı kullanıcı deneyimi önerilerini öğrenin: