फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई को Chrome 108 में शिप किया गया है. हालांकि, इसमें लगातार सुधार होते रहने की उम्मीद है. नुकसान पहुंचाने वाले किसी भी बदलाव की योजना नहीं है.
ये अपडेट किसके लिए हैं?
ये अपडेट आपके लिए हैं, अगर:
- आप आईडीपी (IdP) के तौर पर, फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल करते हैं.
- आप एक आईडीपी या आरपी हैं और आपको एपीआई का इस्तेमाल करना है, ताकि वह आपके इस्तेमाल के उदाहरण के हिसाब से सही हो. उदाहरण के लिए, आपने FedID CG डेटा स्टोर करने की जगह पर हुई बातचीत देखी है या आपको एपीआई में किए गए बदलावों के बारे में जानना है.
- आप एक ब्राउज़र वेंडर हैं और आपको एपीआई को लागू करने की स्थिति के बारे में जानना है.
अगर आपने इस एपीआई का इस्तेमाल पहले नहीं किया है या आपने अब तक इसे इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी पढ़ें.
बदलावों का लॉग
FedCM API में हुए बदलावों के बारे में अप-टू-डेट रहने के लिए, हमारा ब्लॉग या न्यूज़लेटर देखें.
Chrome 125 (अप्रैल 2024)
- इस स्पेसिफ़िकेशन में "खातों की सूची के एंडपॉइंट" का नाम बदलकर "खाता एंडपॉइंट" कर दिया गया है. इसलिए, हमारे दस्तावेज़ को इसी हिसाब से अलाइन किया गया है.
- बटन मोड एपीआई के लिए ऑरिजिन ट्रायल, Chrome के डेस्कटॉप 125 वर्शन पर उपलब्ध है. इस बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: बटन मोड एपीआई का ऑरिजिन ट्रायल, सीओआरएस, और SameSite पर क्लिक करें.
- सीओआरएस को Chrome 125 और उसके बाद के वर्शन में, आईडी दावे के एंडपॉइंट पर लागू किया जाता है.
- Chrome, Chrome 125 से शुरू होने वाले आईडी की पुष्टि करने वाले एंडपॉइंट और खाते के एंडपॉइंट को सिर्फ़ वे कुकी भेजेगा जो साफ़ तौर पर
SameSite=None
के तौर पर मार्क की गई हैं.
Chrome 123 (फ़रवरी 2024)
- डोमेन हिंट एपीआई के लिए सहायता जोड़ी गई. डोमेन हिंट एपीआई की मदद से आरपी, FedCM API कॉल पर
domainHint
प्रॉपर्टी तय कर सकती है, ताकि उपयोगकर्ता से सिर्फ़ मिलते-जुलते खाते दिखाए जा सकें.
Chrome 122 (जनवरी 2024)
- डिसकनेक्ट एपीआई के लिए सहायता जोड़ी गई. डिसकनेक्ट एपीआई की मदद से, आरपी अपने उपयोगकर्ताओं को आईडीपी खाते से डिसकनेक्ट कर सकते हैं. इसके लिए, उन्हें तीसरे पक्ष की कुकी के भरोसे नहीं रहना पड़ता.
- जब आरपी और आईडीपी, एक ही साइट पर हों, तो जांच करना
/.well-known/web-identity
स्किप किया जाता है. - सबरिसॉर्स अब एक ही साइट के लिए लॉगिन की स्थिति सेट कर सकते हैं.
Chrome 121 (दिसंबर 2023)
- FedCM के अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने के लिए आसान शर्त:
- FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आता है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा
को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र इंस्टेंस पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन
करना होगा. शुरुआत में यह शर्त, ट्रैकर को आइडेंटिटी प्रोवाइडर (आईडीपी) के तौर पर पेश करने और ब्राउज़र को धोखे से किसी उपयोगकर्ता की जानकारी या सहमति के बिना अपने-आप फिर से पुष्टि कराने के जोखिम को कम करने के लिए शुरू की गई थी. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता फ़ायदे की गारंटी नहीं दे सकता. FedCM को तीसरे पक्ष की कुकी के ज़रिए मिलने वाली सुविधाओं का सिर्फ़ एक सबसेट दिया
जाता है. इसलिए, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट से जुड़ी तीसरे पक्ष की कुकी का ऐक्सेस पहले से है, तो FedCM को ऐक्सेस करने पर निजता को
कोई अतिरिक्त खतरा नहीं होता.
तीसरे पक्ष की कुकी सही तरीके से इस्तेमाल की जाती हैं और इस शर्त को कम करने से उपयोगकर्ता अनुभव बेहतर होगा. इसलिए, यह बदलाव Chrome 121 से बदल रहा है. किसी उपयोगकर्ता को वापस आने वाला मानकर, हमने इस शर्त पर लगी पाबंदी में ढील देने का फ़ैसला किया है: अगर आरपी कॉन्टेक्स्ट में, आईडीपी (IdP) के लिए तीसरे पक्ष की कुकी उपलब्ध हैं, तो Chrome,approved_clients
सूची में दी गई उपयोगकर्ता के खाते की स्थिति के बारे में आईडीपी के दावे पर भरोसा करेगा. साथ ही, ज़रूरत पड़ने पर, अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर करेगा. तीसरे पक्ष की कुकी इनके ज़रिए उपलब्ध हो सकती हैं: उपयोगकर्ता सेटिंग, एंटरप्राइज़ नीतियां, अनुभव (Safari, Firefox, Chrome) और दूसरे वेब प्लैटफ़ॉर्म एपीआई (जैसे कि Storage Access API). ध्यान दें कि आने वाले समय में जब आईडीपी (IdP) तीसरे पक्ष की कुकी का ऐक्सेस खो देगा, तो अगर किसी उपयोगकर्ता ने पहले कभी भी FedCM यूज़र इंटरफ़ेस (यूआई) पर साफ़ तौर पर अनुमति नहीं दी है (उदाहरण के लिए, इस रूप में जारी रखें बटन पर क्लिक करना), तब भी उसे नया उपयोगकर्ता माना जाएगा.
इसके लिए, डेवलपर को कोई कार्रवाई करने की ज़रूरत नहीं है. ध्यान दें कि इस बदलाव से, अपने-आप फिर से पुष्टि करने की प्रोसेस ज़्यादा ट्रिगर हो सकती है. ऐसा तब हो सकता है, जब आईडीपी (IdP) के पास तीसरे पक्ष की कुकी का ऐक्सेस हो और यह दावा किया गया हो कि उपयोगकर्ता ने आरपी पर पहले ही खाता बनाया है.
- FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आता है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा
को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र इंस्टेंस पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन
करना होगा. शुरुआत में यह शर्त, ट्रैकर को आइडेंटिटी प्रोवाइडर (आईडीपी) के तौर पर पेश करने और ब्राउज़र को धोखे से किसी उपयोगकर्ता की जानकारी या सहमति के बिना अपने-आप फिर से पुष्टि कराने के जोखिम को कम करने के लिए शुरू की गई थी. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता फ़ायदे की गारंटी नहीं दे सकता. FedCM को तीसरे पक्ष की कुकी के ज़रिए मिलने वाली सुविधाओं का सिर्फ़ एक सबसेट दिया
जाता है. इसलिए, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट से जुड़ी तीसरे पक्ष की कुकी का ऐक्सेस पहले से है, तो FedCM को ऐक्सेस करने पर निजता को
कोई अतिरिक्त खतरा नहीं होता.
Chrome 120 (नवंबर 2023)
- Chrome 120 की इन तीन सुविधाओं के लिए अतिरिक्त सहायता जोड़ी गई:
- Login Status API: Login Status
एपीआई एक ऐसा सिस्टम है जिसमें कोई वेबसाइट, खास तौर पर एक आईडीपी (IdP) ब्राउज़र को उसके उपयोगकर्ता के
लॉगिन स्टेटस के बारे में जानकारी देता है. इस एपीआई की मदद से ब्राउज़र, आईडीपी (IdP) पर आने वाले ग़ैर-ज़रूरी अनुरोधों को कम कर सकता है. साथ ही, संभावित टाइमिंग अटैक को कम कर सकता है. FedCM के लिए लॉगिन स्थिति एपीआई एक
ज़रूरी शर्त है.
इस बदलाव के साथ ही, तीसरे पक्ष की कुकी के ब्लॉक होने पर, FedCM को चालू करने के लिए अब
chrome://flags/#fedcm-without-third-party-cookies
फ़्लैग की ज़रूरत नहीं होगी. - Error API: गड़बड़ी वाला एपीआई, उपयोगकर्ता को ब्राउज़र का यूज़र इंटरफ़ेस दिखाता है. इस यूज़र इंटरफ़ेस (यूआई) में, आईडीपी (IdP) से मिली गड़बड़ी की जानकारी दिखती है.
- अपने-आप चुना गया फ़्लैग एपीआई: अपने-आप चुना गया फ़्लैग एपीआई: इससे यह पता चलता है कि आईडीपी (IdP) और आरपी, दोनों के साथ इस रूप में जारी रखें बटन पर टैप करके, साफ़ तौर पर उपयोगकर्ता की अनुमति ली गई है या नहीं. ऐसा तब होता है, जब अपने-आप फिर से पुष्टि होने की समस्या हुई हो या किसी अन्य मीडिएशन की समस्या हुई हो. शेयर करने की प्रोसेस, आईडीपी और आरपी कम्यूनिकेशन के लिए उपयोगकर्ता की अनुमति मिलने के बाद ही होती है.
- Login Status API: Login Status
एपीआई एक ऐसा सिस्टम है जिसमें कोई वेबसाइट, खास तौर पर एक आईडीपी (IdP) ब्राउज़र को उसके उपयोगकर्ता के
लॉगिन स्टेटस के बारे में जानकारी देता है. इस एपीआई की मदद से ब्राउज़र, आईडीपी (IdP) पर आने वाले ग़ैर-ज़रूरी अनुरोधों को कम कर सकता है. साथ ही, संभावित टाइमिंग अटैक को कम कर सकता है. FedCM के लिए लॉगिन स्थिति एपीआई एक
ज़रूरी शर्त है.
इस बदलाव के साथ ही, तीसरे पक्ष की कुकी के ब्लॉक होने पर, FedCM को चालू करने के लिए अब
Chrome 117 (सितंबर 2023)
- Idp साइन-इन स्टेटस एपीआई के लिए ऑरिजिन ट्रायल, Android पर Chrome 117 के वर्शन के साथ उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह पर जाएं.
Chrome 116 (अगस्त 2023)
- Chrome 116 की इन तीन सुविधाओं के लिए अतिरिक्त सहायता जोड़ी गई:
- लॉगिन संकेत एपीआई: साइन इन करने के लिए पसंदीदा उपयोगकर्ता खाता तय करें.
- उपयोगकर्ता की जानकारी का एपीआई: लौटने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (आईडीपी) किसी iframe में, ज़रूरत के हिसाब से साइन-इन करने का बटन रेंडर कर सके.
- RP Context API: FedCM डायलॉग में 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें.
- आईडीपी (IdP) के लिए साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल की सुविधा उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह पर जाएं.
Chrome 115 (जून 2023)
- अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई. इससे, FedCM का इस्तेमाल करके शुरुआती पुष्टि करने के बाद, जब उपयोगकर्ता वापस आते हैं, तो उनकी फिर से पुष्टि अपने-आप हो जाती है. इससे उपयोगकर्ता अनुभव बेहतर होता है. साथ ही, उपयोगकर्ता की सहमति के बाद, आरपी की फिर से पुष्टि करने की प्रोसेस बेहतर होती है. FedCM के अपने-आप फिर से पुष्टि करने की सुविधा के बारे में ज़्यादा जानें.
Chrome 110 (फ़रवरी 2023)
- आईडी दावे के एंडपॉइंट के लिए, आईडीपी को
Referer
हेडर के बजायOrigin
हेडर की जांच करनी होगी, ताकि यह देखा जा सके कि वैल्यू, Client-ID की ऑरिजिन से मेल खाती है या नहीं. - FedCM के लिए, क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. एम्बेडर को
अनुमतियों-नीति
identity-credentials-get
के बारे में बताना चाहिए, ताकि एम्बेड किए गए क्रॉस-ऑरिजिन iframe में FedCM API को अनुमति दी जा सके. क्रॉस-ऑरिजिन iframe का उदाहरण देखें. - नया Chrome फ़्लैग
chrome://flags/#fedcm-without-third-party-cookies
जोड़ा गया. इस फ़्लैग की मदद से, तीसरे पक्ष की कुकी को ब्लॉक करके, Chrome में FedCM के फ़ंक्शन की जांच की जा सकती है. FedCM के दस्तावेज़ से ज़्यादा जानें.
Chrome 108 (अक्टूबर 2022)
- "टॉप-लेवल मेनिफ़ेस्ट" को अब दस्तावेज़ में "लोकप्रिय फ़ाइल" कहा जाता है. लागू करने के तरीके में किसी भी तरह के बदलाव की ज़रूरत नहीं है.
- "आईडीपी मेनिफ़ेस्ट" को अब दस्तावेज़ में "कॉन्फ़िगरेशन फ़ाइल" कहा जाता है. लागू करने के तरीके में किसी भी बदलाव की ज़रूरत नहीं है.
- "कॉन्फ़िगरेशन फ़ाइल" में
id_token_endpoint
का नाम बदलकरid_assertion_endpoint
कर दिया गया है. - आईडीपी (IdP) के अनुरोधों में अब
Sec-FedCM-CSRF: ?1
हेडर के बजाय,Sec-Fetch-Dest: webidentity
हेडर शामिल किया जाता है.
Chrome 105 (अगस्त 2022)
- दस्तावेज़ में सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई. आइडेंटिटी प्रोवाइडर (आईडीपी) को यह जांच करनी होगी कि
Referer
हेडर, आईडी टोकन एंडपॉइंट पर पहले से रजिस्टर की गई आरपी की ऑरिजिन से मेल खाता है या नहीं. - टॉप लेवल मेनिफ़ेस्ट का नाम
/.well-known/fedcm.json
से बदलकर/.well-known/web-identity
कर दिया गया है. साथ ही,provider_urls
में दिए गए यूआरएल में फ़ाइल का नाम शामिल होना चाहिए. FederatedCredential
इंस्टेंस परlogin()
,logout()
, औरrevoke()
तरीके अब उपलब्ध नहीं हैं.- फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई, अब
FederatedCredential
के बजाय एक नए टाइपIdentityCredential
का इस्तेमाल करता है. इसका इस्तेमाल सुविधा की पहचान करने के लिए किया जा सकता है, लेकिन यह काफ़ी बड़ा बदलाव है. - लॉगिन करने के तरीके को
navigator.credentials.get()
औरFederatedCredential.prototype.login()
के कॉम्बिनेशन से बदलकरnavigator.credentials.get()
करें. - मेनिफ़ेस्ट में रद्द करने का एंडपॉइंट अब काम नहीं करता है.
navigator.credentials.get()
कॉल के लिए,federated
फ़ील्ड के बजायidentity
फ़ील्ड का इस्तेमाल करें.url
अबconfigURL
है और यहnavigator.credentials.get()
कॉल के पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए.nonce
अबnavigator.credentials.get()
के लिए एक वैकल्पिक पैरामीटर है.hint
अबnavigator.credentials.get()
के विकल्प के तौर पर उपलब्ध नहीं है.
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (जून 2022)
- आईडी टोकन एंडपॉइंट पर भेजा गया
consent_acquired
पैरामीटर, अबdisclosure_text_shown
है. वैल्यू में कोई बदलाव नहीं किया गया है. - आईडीपी मेनिफ़ेस्ट में मौजूद ब्रैंडिंग आइकॉन ने SVG इमेज के साथ काम करना बंद कर दिया है. हालांकि, अब आरपी की कॉन्टेंट की सुरक्षा के बारे में नीति के तहत, इन्हें अनुमति देने की ज़रूरत नहीं है.
Chrome 103 (मई 2022)
- डेस्कटॉप एनवायरमेंट के साथ काम करता है.
- डेस्कटॉप पर हर आरपी सेटिंग के साथ काम करता है.
- क्लाइंट मेटाडेटा का एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल भी देना ज़रूरी नहीं है.
- दस्तावेज़ में, सीएसपी
connect-src
का इस्तेमाल करने के बारे में एक चेतावनी जोड़ी गई.