Bağlı taraflar için geçiş anahtarı geliştirici kılavuzu

Geçiş anahtarlarını hizmetinize nasıl entegre edebileceğinizi öğrenin.

Geçiş anahtarı sisteminin anatomisi

Geçiş anahtarı sistemi birkaç bileşenden oluşur:

• Bağlı taraf: Geçiş anahtarı bağlamında bağlı taraf (kısaca RP), geçiş anahtarı verme ve kimlik doğrulama işlemlerini gerçekleştirir. RP, bir istemci (geçiş anahtarları oluşturan veya geçiş anahtarlarıyla kimlik doğrulayan bir web sitesi veya uygulama) ve istemcideki geçiş anahtarları tarafından oluşturulan kimlik bilgilerini kaydetmek, depolamak ve doğrulamak için bir sunucu işletmelidir. Geçiş anahtarı mobil uygulaması, işletim sistemi tarafından sağlanan Dijital Öğe Bağlantıları gibi ilişkilendirme mekanizması kullanılarak bir RP sunucusu alanına bağlanmalıdır.
• Authenticator: İşletim sisteminin sunduğu ekran kilidi özelliğini kullanarak geçiş anahtarları oluşturup doğrulayabilen cep telefonu, tablet, dizüstü veya masaüstü bilgisayar gibi bir bilgi işlem cihazı.
• Şifre yöneticisi: Son kullanıcının cihazlarında yüklü olup geçiş anahtarlarını sunan, depolayan ve senkronize eden Google Şifre Yöneticisi gibi yazılımlardır.

Kayıt akışı

Yeni bir geçiş anahtarı oluşturmak ve kaydetmek için web sitesinde WebAuthn API'yi veya bir Android uygulamasında Kimlik Bilgisi Yöneticisi kitaplığını kullanın.

Yeni bir geçiş anahtarı oluşturmak için sağlamanız gereken birkaç temel bileşen vardır:

• RP ID: Bağlı tarafın kimliğini web alanı biçiminde sağlayın.
• Kullanıcı bilgileri: Kullanıcının kimliği, kullanıcı adı ve görünen adı.
• Hariç tutulacak kimlik bilgileri: Yinelenen kaydı önlemek için önceden depolanan geçiş anahtarlarıyla ilgili bilgiler.
• Geçiş anahtarı türleri: Cihazın kendisini ("platform kimlik doğrulayıcı") bir kimlik doğrulayıcı olarak mı yoksa çıkarılabilir bir güvenlik anahtarı ("platformlar arası / dolaşım kimlik doğrulayıcı") olarak mı kullanacağınız. Buna ek olarak, arayanlar kimlik bilgilerinin bulunabilir olup olmayacağını belirleyebilir. Böylece, kullanıcı oturum açmak için bir hesap seçebilir.

Bir RP, geçiş anahtarı oluşturma isteğinde bulunduğunda ve kullanıcı bunu ekran kilidiyle doğruladıktan sonra yeni bir geçiş anahtarı oluşturulur ve ortak anahtar kimlik bilgisi döndürülür. Bunu sunucuya gönderin ve kimlik bilgisi kimliği ile ortak anahtarı gelecekteki kimlik doğrulama işlemleri için saklayın.

Geçiş anahtarı oluşturmayı ve kaydetmeyi ayrıntılı olarak öğrenin:

• Web'de: Şifresiz girişler için geçiş anahtarı oluşturun
• Android'de: Credential Manager API'sini kullanarak geçiş anahtarlarıyla uygulamalarınıza sorunsuz kimlik doğrulama olanağı sağlama

Kimlik doğrulama akışı

Kayıtlı bir geçiş anahtarıyla kimlik doğrulamak için web sitesinde WebAuthn API'yi veya Android uygulamasında Kimlik Bilgisi Yöneticisi kitaplığını kullanın.

Geçiş anahtarıyla kimlik doğrulamak için sağlamanız gereken birkaç temel bileşen vardır:

• RP ID: Bağlı tarafın kimliğini web alanı biçiminde sağlayın.
• Görev: Tekrar oynatma saldırılarını önleyen, sunucu tarafından oluşturulan bir giriş sorgulaması.

Bir RP, geçiş anahtarıyla kimlik doğrulama isteğinde bulunduğunda ve kullanıcı bunu ekran kilidiyle kimlik doğrulamayla doğruladığında ortak anahtar kimlik bilgisi döndürülür. Bunu sunucuya gönderin ve depolanan ortak anahtarla imzayı doğrulayın.

Geçiş anahtarıyla kimlik doğrulama hakkında ayrıntılı bilgi edinin:

• Web'de: Form otomatik doldurma özelliğini kullanarak geçiş anahtarıyla oturum açma
• Android'de: Credential Manager API'sini kullanarak geçiş anahtarlarıyla uygulamalarınıza sorunsuz kimlik doğrulama olanağı sağlama

Sunucu tarafı entegrasyonlar

Geçiş anahtarı oluşturulduktan sonra sunucunun; giriş sorgulaması, kullanıcı bilgileri, hariç tutulacak kimlik bilgisi kimlikleri gibi anahtar parametreleri sağlaması gerekir. Ardından, istemciden gönderilen, oluşturulan ortak anahtar kimlik bilgilerini doğrular ve ortak anahtarı veritabanında depolar. Geçiş anahtarıyla kimlik doğrulama yapılabilmesi için sunucunun, kullanıcının oturum açabilmesi için kimlik bilgilerini dikkatlice doğrulaması ve imzayı doğrulaması gerekir.

Sunucu tarafı kılavuzlarımızda daha fazla bilgi edinin:

• Sunucu tarafı geçiş anahtarı uygulamasına giriş
• Sunucu tarafı geçiş anahtarı kaydı
• Sunucu tarafı geçiş anahtarı kimlik doğrulaması

Mevcut (eski) kimlik doğrulama sistemleri

Mevcut hizmetinizde geçiş anahtarlarını desteklediğinizde, şifreler gibi daha eski bir kimlik doğrulama mekanizmasından şifre anahtarına geçiş işlemi bir gün içinde gerçekleşmez. Zayıf kimlik doğrulama yöntemini mümkün olan en kısa sürede kaldırmak isteyebileceğinizi biliyoruz, ancak bu durum kullanıcıların kafasını karıştırabilir veya bazı kullanıcıların geride kalmasına neden olabilir. Şimdilik mevcut kimlik doğrulama yöntemini kullanmaya devam etmenizi öneririz.

Bunun birkaç nedeni vardır:

• Geçiş anahtarı uyumlu olmayan bir ortamda kullanıcılar var: Geçiş anahtarı desteği, birden fazla işletim sisteminde ve tarayıcıda geniş bir yelpazeye yayılıyor ancak eski sürümleri kullananlar henüz geçiş anahtarı kullanamamaktadır.
• Geçiş anahtarı ekosistemi henüz olgunlaşmadı: Geçiş anahtarı ekosistemi gelişiyor. Farklı ortamlar arasındaki kullanıcı deneyimi ayrıntıları ve teknik uyumluluk iyileşebilir.
• Kullanıcılar henüz geçiş anahtarıyla yaşamaya hazır olmayabilir: Yeni şeylere geçiş yapmakta tereddüt edenler vardır. Geçiş anahtarı ekosistemi olgunlaştıkça geçiş anahtarlarının işleyiş şekli ve onlar için neden faydalı olduğu hakkında fikir sahibi olurlar.

Mevcut kimlik doğrulama mekanizmanızı yeniden gözden geçirin

Geçiş anahtarları, kimlik doğrulama işleminizi daha basit ve daha güvenli hale getirse de eski mekanizmaları korumak boşluk bırakmak gibidir. Mevcut kimlik doğrulama mekanizmalarınızı yeniden ziyaret etmenizi ve iyileştirmenizi öneririz.

Şifreler

Güçlü şifreler oluşturmak ve bunları her web sitesi için yönetmek kullanıcılar için zorlu bir görevdir. Sistemde yerleşik veya bağımsız bir şifre yöneticisi kullanmanız kesinlikle önerilir. Web siteleri ve uygulamalar, oturum açma formunda ufak bir değişiklik yaparak güvenliğinde ve oturum açma deneyiminde büyük fark yaratabilir. Bu değişiklikleri nasıl yapabileceğinize göz atın:

• Oturum açma formuyla ilgili en iyi uygulamalar (Web)
• Kayıt formu en iyi uygulamaları (Web)
• Kimlik Bilgisi Yöneticisi ile kullanıcınızda oturum açma (Android)

İki faktörlü kimlik doğrulama

Şifre yöneticisi kullanmak kullanıcıların şifreleri ele almasına yardımcı olsa da tüm kullanıcılar tarafından kullanılmaz. Tek kullanımlık şifre (OTP) adı verilen ek kimlik bilgilerinin istenmesi, bu tür kullanıcıları korumak için yaygın olarak başvurulan bir uygulamadır. OTP'ler genellikle e-posta, SMS mesajı veya Google Authenticator gibi bir kimlik doğrulama uygulaması aracılığıyla sağlanır. OTP'ler genellikle yalnızca sınırlı bir zaman aralığı için dinamik olarak geçerli olan kısa metinler olduğundan hesabın ele geçirilme olasılığını azaltır. Bu yöntemler geçiş anahtarı kadar güçlü değildir ancak kullanıcılara yalnızca şifreyle bırakmaktan çok daha iyidir.

OTP gönderme yöntemi olarak SMS'i seçerseniz kullanıcı deneyiminin OTP'ye girmesini kolaylaştırmak için aşağıdaki en iyi uygulamalara göz atın.

• SMS OTP formu en iyi uygulamaları (Web)
• SMS Retriever API ile Otomatik SMS Doğrulama (Android)

Kimlik federasyonu

Kimlik federasyonu, kullanıcıların güvenli ve kolay bir şekilde oturum açmasına olanak tanıyan başka bir seçenektir. Kimlik federasyonu sayesinde web siteleri ve uygulamalar, kullanıcıların üçüncü taraf bir kimlik sağlayıcıdaki kullanıcı kimliğini kullanarak oturum açmasına izin verebilir. Örneğin, Google ile oturum açma, geliştiricilerin harika dönüşümler elde etmesini sağlar ve kullanıcılar, şifre tabanlı kimlik doğrulamaya kıyasla daha kolay ve tercih edilir. Kimlik federasyonu, geçiş anahtarlarını tamamlar. Geçiş anahtarları, yeniden kimlik doğrulamayı kolaylaştırmak için idealdir. Web sitesi veya uygulama, kullanıcının temel profil bilgilerini tek bir adımda elde edebilir. Bu nedenle, kaydolmak için idealdir.

Chrome, 2024'te üçüncü taraf çerezlerini kullanımdan kaldırdıktan sonra, oluşturulma şekillerine bağlı olarak bazı kimlik federasyon sistemlerinin bu durumdan etkilenebileceğini unutmayın. Etkiyi azaltmak için Federated Credential Management API (kısaca FedCM) adlı yeni bir tarayıcı API'si geliştiriliyor. Bir kimlik sağlayıcı işletiyorsanız ayrıntıları inceleyin ve FedCM'yi kullanmaya başlamanız gerekip gerekmediğini öğrenin.

• Federated Credential Management API (Web, FedCM)
• Web için Google ile oturum açma özelliğine genel bakış (Web, Google ile oturum açma)
• Android'de One Tap ile oturum açmaya genel bakış (Android, One Tap ile oturum açma)

"Sihirli Bağlantılar"

Sihirli bağlantı ile oturum açma, bir hizmetin e-posta üzerinden, kullanıcının tıklayarak kendi kimliğini doğrulayabilmesi için bir giriş bağlantısı yayınladığı bir kimlik doğrulama yöntemidir. Bu, kullanıcıların şifre hatırlamadan oturum açmalarına yardımcı olsa da tarayıcı/uygulama ile e-posta istemcisi arasında geçiş yapmak kolay olmayabilir. Ayrıca, kimlik doğrulama mekanizması e-postaya bağlı olduğundan e-posta sağlayıcısının zayıf güvenliği, kullanıcının hesaplarını riske atabilir.

Eğitici kaynaklar

Web

Geçiş anahtarlarını web sitenize entegre etmek için Web Authentication API (WebAuthn) kullanın. Daha fazla bilgi için aşağıdaki kaynaklara göz atın:

• Şifresiz girişler için geçiş anahtarı oluşturma: Kullanıcıların bir web sitesi için geçiş anahtarı oluşturmasına nasıl izin verileceğini açıklayan bir makale.
• Form otomatik doldurma aracılığıyla geçiş anahtarıyla oturum açma: Geçiş anahtarlarıyla şifresiz oturum açmanın mevcut şifre kullanıcıları için nasıl tasarlanması gerektiğini açıklayan bir makale.
• Web uygulamasında otomatik form doldurma özelliğiyle geçiş anahtarları uygulayın: Daha basit ve güvenli bir oturum açma işlemi oluşturmak için web uygulamasında form otomatik doldurma özelliğiyle geçiş anahtarlarını nasıl uygulayacağınızı öğrenmenizi sağlayan bir codelab.
• Web uygulamalarında form otomatik doldurma özelliğiyle geçiş anahtarlarını nasıl uygulayacağınızı öğrenin: Daha basit ve güvenli bir oturum açma deneyimi oluşturmak için web uygulamasında form otomatik doldurma özelliğiyle geçiş anahtarlarını uygulamak için codelab'i inceleyen bir atölye videosu. Web uygulamasında formu otomatik doldurma özelliğiyle geçiş anahtarlarını uygulama.
• İlk WebAuthn uygulamanızı oluşturun: Web sitenizde geçiş anahtarıyla basit bir yeniden kimlik doğrulama işlevini nasıl oluşturacağınızı öğrenmenizi sağlayan bir codelab.

Android

Geçiş anahtarlarını Android uygulamanıza entegre etmek için Kimlik Bilgisi Yöneticisi kitaplığını kullanın. Daha fazla bilgi için aşağıdaki kaynaklara göz atın:

• Kimlik Bilgisi Yöneticisi ile kullanıcınızda oturum açma: Kimlik Bilgisi Yöneticisi'nin Android'e nasıl entegre edileceğinin açıklandığı bir makale. Kimlik Bilgisi Yöneticisi, tek bir API'de kullanıcı adı ve şifre, geçiş anahtarları ve birleşik oturum açma çözümleri (ör. Google ile oturum açma) gibi çoklu oturum açma yöntemlerini destekleyen bir Jetpack API'dir
• Credential Manager API'sini kullanarak geçiş anahtarlarıyla uygulamalarınıza sorunsuz kimlik doğrulama sağlama: Android'de Kimlik Bilgisi Yöneticisi aracılığıyla geçiş anahtarlarını nasıl entegre edeceğinizi açıklayan bir makale.
• Android uygulamanızda Credential Manager API'yi kullanarak kimlik doğrulama yolculuklarını nasıl basitleştireceğinizi öğrenin: Geçiş anahtarları veya şifre kullanarak uygulamanızda sorunsuz ve güvenli kimlik doğrulama sağlamak için Credential Manager API'yi nasıl uygulayacağınızı öğrenin.
• Credentials Manager Sample Uygulama: Geçiş anahtarlarını barındıran Kimlik Bilgisi Yöneticisi'ni çalıştıran örnek bir kod.
• Kimlik Bilgisi Yöneticisi'ni kimlik bilgisi sağlayıcı çözümünüzle entegre etme | Android Geliştiricileri

kullanıcı deneyimi

Geçiş anahtarı kullanıcı deneyimi önerilerini öğrenin:

• FIDO Alliance'ın Geçiş Anahtarı Oluşturma ve Oturum Açma Kullanıcı Deneyimi Kuralları
• Geçiş anahtarlarıyla kullanıcı kimlik doğrulaması | Mobil | Android Geliştiricileri