फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के अपडेट

फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई को Chrome में शिप किया गया 108 है, लेकिन यह जारी रहने की उम्मीद है बेहतर हो रहा है. नुकसान पहुंचाने वाले किसी भी बदलाव की योजना नहीं है.

ये अपडेट किसके लिए हैं?

ये अपडेट आपके लिए हैं, अगर:

  • आप आईडीपी (IdP) के तौर पर, फ़ेडरल क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल करते हैं.
  • आप आईडीपी या आरपी हैं. आपको एपीआई का इस्तेमाल करना है, ताकि वह आपके इस्तेमाल के हिसाब से सही हो केस – उदाहरण जिन्हें देखा जा रहा है या जिनमें हिस्सा लिया गया है FedID CG के डेटा स्टोर करने की जगह पर चर्चा और आपको एपीआई में किए गए बदलावों को समझना है.
  • आप एक ब्राउज़र वेंडर हैं और आपको इसे लागू करने के बारे में जानना है एपीआई का स्टेटस.

अगर आपने इस एपीआई का इस्तेमाल पहले नहीं किया है या आपने इसे अभी तक इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी.

बदलावों का लॉग

FedCM API में हुए बदलावों के बारे में अप-टू-डेट रहने के लिए, हमारा blog या the न्यूज़लेटर शामिल करें.

Chrome 125 (अप्रैल 2024)

Chrome 123 (फ़रवरी 2024)

  • डोमेन हिंट एपीआई के लिए सहायता जोड़ी गई. डोमेन संकेत एपीआई का इस्तेमाल करके, आरपी को ये काम करने में मदद मिलती है FedCM API कॉल पर domainHint प्रॉपर्टी जोड़ें, ताकि सिर्फ़ मिलते-जुलते नतीजे दिखाए जा सकें उपयोगकर्ता खाते.

Chrome 122 (जनवरी 2024)

Chrome 121 (दिसंबर 2023)

  • FedCM के अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने के लिए आसान शर्त:
    • अपने-आप फिर से पुष्टि करने की सुविधा FedCM सिर्फ़ तब ट्रिगर होता है, जब उपयोगकर्ता वापस आ रहा हो. इसका मतलब है कि उपयोगकर्ता हर ब्राउज़र पर, FedCM का इस्तेमाल करके एक बार आरपी में साइन इन करना होगा, इससे पहले कि अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर हो सके. शुरुआत में यह स्थिति यह सुविधा, ट्रैकर की पहचान होने का दिखावा करने वाले ट्रैकर के खतरे को कम करने के लिए लॉन्च की गई है प्रोवाइडर (आईडीपी) और ब्राउज़र को गुमराह करके, उपयोगकर्ता की अपने-आप फिर से पुष्टि कराने के लिए कहना बिना उनकी जानकारी या सहमति के ऐसा किया जा सकता है. हालांकि, इस डिज़ाइन की गारंटी नहीं दी जा सकती निजता का फ़ायदा तब होगा, जब ट्रैकर के पास आरपी कॉन्टेक्स्ट. FedCM उन क्षमताओं का सिर्फ़ एक सबसेट देता है जो इनके ज़रिए संभव हो सकती हैं तीसरे पक्ष की कुकी. इसलिए, अगर ट्रैकर के पास पहले से ही तीसरे पक्ष का ऐक्सेस है Google के आरपी विषय से जुड़ी कुकी और FedCM को ऐक्सेस करने पर, निजता की कोई अतिरिक्त शर्त नहीं अपनाई जाती जोखिम.
      अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है तीसरे पक्ष की कुकी का सही तरीके से इस्तेमाल किया जाता है. साथ ही, यह स्थिति उपयोगकर्ता अनुभव को बेहतर बनाने में मदद करेगी. हालांकि, यह बदलाव Chrome 121 से बदल रहा है. हमने लोगों को इस शर्त पर लागू होने वाली पाबंदी में छूट दी है, ताकि लोगों को वापस जाना: अगर तीसरे पक्ष की कुकी, आरपी के आईडीपी (IdP) के लिए उपलब्ध हैं के बजाय, Chrome, उपयोगकर्ता के खाते की स्थिति के बारे में आईडीपी के दावे पर भरोसा करेगा इसे approved_clients सूची के ज़रिए चुना जाएगा और इससे अपने-आप दोबारा पुष्टि होने की सुविधा ट्रिगर होगी अगर लागू हो. तीसरे पक्ष की कुकी इनके ज़रिए उपलब्ध हो सकती हैं: उपयोगकर्ता सेटिंग, एंटरप्राइज़ की नीतियां, अनुभव के हिसाब से (Safari, Firefox, Chrome) और अन्य वेब प्लैटफ़ॉर्म के एपीआई, जैसे कि स्टोरेज का ऐक्सेस एपीआई). नोट जोड़ें अगर आने वाले समय में, आईडीपी (IdP) तीसरे पक्ष की कुकी का ऐक्सेस खो देता है, तो ने कभी भी FedCM यूज़र इंटरफ़ेस (यूआई) पर साफ़ तौर पर अनुमति नहीं दी है (उदाहरण के लिए, इस रूप में जारी रखें बटन पर क्लिक करने से), तो उन्हें अब भी नया उपयोगकर्ता.
      अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इसके लिए, डेवलपर को कोई कार्रवाई करने की ज़रूरत नहीं है. ध्यान दें कि अपने-आप फिर से पुष्टि करने के फ़्लो में अगर आईडीपी (IdP) के पास तीसरे पक्ष की कुकी का ऐक्सेस है, तो इस बदलाव के बाद ट्रिगर होगा और यह दावा करता है कि उपयोगकर्ता ने पहले आरपी पर खाता बनाया है.

Chrome 120 (नवंबर 2023)

  • Chrome 120 की इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
    • Login Status API: लॉगिन की स्थिति एपीआई ऐसा सिस्टम जिसमें कोई वेबसाइट, खास तौर पर आईडीपी (IdP) ब्राउज़र को उपयोगकर्ता के लॉगिन स्थिति. इस एपीआई की मदद से ब्राउज़र, ग़ैर-ज़रूरी अनुरोधों को कम कर सकता है आईडीपी (IdP) को ब्लॉक किया जा सकता है. साथ ही, समय पर होने वाले संभावित हमलों को कम किया जा सकता है. लॉगिन स्थिति एपीआई FedCM के लिए आवश्यक. इस बदलाव के साथ, chrome://flags/#fedcm-without-third-party-cookies फ़्लैग तीसरे पक्ष की कुकी के ब्लॉक होने पर, FedCM को चालू करना ज़रूरी नहीं है.
    • Error API: गड़बड़ी API, उपयोगकर्ताओं को यह सूचना भेजता है उपयोगकर्ता को आईडीपी (IdP) से मिली गड़बड़ी की जानकारी के साथ ब्राउज़र का यूज़र इंटरफ़ेस (यूआई) दिखाकर.
    • अपने-आप चुना गया फ़्लैग एपीआई: अपने-आप चुना गया फ़्लैग एपीआई यह शेयर करता है कि क्या उपयोगकर्ता ने अपने-आप फिर से पुष्टि करने पर, आईडीपी और आरपी, दोनों के साथ इस रूप में जारी रखें बटन हुआ या कोई स्पष्ट मध्यस्थता हुई. शेयर करने की सुविधा, सिर्फ़ उपयोगकर्ता के बाद ही शेयर की जाती है आईडीपी (IdP) और आरपी कम्यूनिकेशन के लिए अनुमति दी गई है.

Chrome 117 (सितंबर 2023)

Chrome 116 (अगस्त 2023)

  • Chrome 116 की इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
    • लॉगिन संकेत एपीआई: साइन इन करने के लिए पसंदीदा उपयोगकर्ता खाता तय करें.
    • उपयोगकर्ता की जानकारी का एपीआई: लौटने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (आईडीपी) किसी iframe में, ज़रूरत के हिसाब से साइन-इन करने का बटन रेंडर कर सके.
    • RP Context API: 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें FedCM डायलॉग में.
  • आईडीपी (IdP) के लिए साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल की सुविधा उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: आईडीपी (IdP) साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह पर जाएं.

Chrome 115 (जून 2023)

  • अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई. इससे, FedCM का इस्तेमाल करके शुरुआती पुष्टि करने के बाद, जब उपयोगकर्ता वापस आते हैं, तो उनकी फिर से पुष्टि अपने-आप हो जाती है. इससे उपयोगकर्ता अनुभव बेहतर होता है. साथ ही, पहली बार पुष्टि करने के बाद, आरपी की फिर से पुष्टि करने की प्रोसेस बेहतर होती है. FedCM के अपने-आप फिर से पुष्टि करने की सुविधा के बारे में ज़्यादा जानें.

Chrome 110 (फ़रवरी 2023)

  • आईडी दावे के एंडपॉइंट के लिए, आईडीपी को Referer हेडर के बजाय Origin हेडर की जांच करनी होगी, ताकि यह देखा जा सके कि वैल्यू, Client-ID की ऑरिजिन से मेल खाती है या नहीं.
  • FedCM के लिए, क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. कॉन्टेंट बनाने एम्बेडर को यह निर्देश देना चाहिए Permissions-Policy एम्बेड किए गए क्रॉस-ऑरिजिन में FedCM API को अनुमति देने के लिए identity-credentials-get iframe. आप इसका उदाहरण देख सकते हैं क्रॉस-ऑरिजिन iframe.
  • नया Chrome फ़्लैग chrome://flags/#fedcm-without-third-party-cookies जोड़ा गया. इस फ़्लैग की मदद से, Chrome में FedCM के फ़ंक्शन की जांच की जा सकती है तीसरे पक्ष की कुकी ब्लॉक करके. FedCM के दस्तावेज़ से ज़्यादा जानें.

Chrome 108 (अक्टूबर 2022)

  • "टॉप-लेवल मेनिफ़ेस्ट" को अब "लोकप्रिय फ़ाइल" कहा जाता है दस्तावेज़ में मौजूद है. लागू करने के तरीके में किसी भी तरह के बदलाव की ज़रूरत नहीं है.
  • "आईडीपी मेनिफ़ेस्ट" को अब "config फ़ाइल" कहा जाता है दस्तावेज़ में मौजूद है. नहीं लागू करने के तरीके में बदलाव करना ज़रूरी है.
  • "कॉन्फ़िगरेशन फ़ाइल" में id_token_endpoint का नाम बदलकर यह कर दिया गया है: id_assertion_endpoint.
  • आईडीपी (IdP) को किए जाने वाले अनुरोधों में अब Sec-Fetch-Dest: webidentity हेडर के बजाय Sec-FedCM-CSRF: ?1 हेडर का इस्तेमाल करें.

Chrome 105 (अगस्त 2022)

  • दस्तावेज़ में सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई. पहचान प्रोवाइडर (आईडीपी) को यह जांच करनी होगी कि Referer हेडर, ऑरिजिन से मेल खाता है या नहीं को पहले से रजिस्टर की गई आरपी आईडी टोकन एंडपॉइंट.
  • टॉप-लेवल मेनिफ़ेस्ट का नाम /.well-known/fedcm.json से बदलकर यह कर दिया गया है /.well-known/web-identity और provider_urls में दिए गए यूआरएल को फ़ाइल का नाम शामिल करें.
  • FederatedCredential पर login(), logout(), और revoke() तरीके इंस्टेंस अब उपलब्ध नहीं हैं.
  • फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई अब एक नए टाइप का इस्तेमाल करता है FederatedCredential के बजाय IdentityCredential. इसका इस्तेमाल इन कामों के लिए किया जा सकता है सुविधा की पहचान करने के लिए किया जाता है. हालांकि, यह काफ़ी बड़ा बदलाव है.
  • के संयोजन से प्रवेश काम की क्षमता को स्थानांतरित करें navigator.credentials.get() और FederatedCredential.prototype.login() से navigator.credentials.get().
  • मेनिफ़ेस्ट में रद्द करने का एंडपॉइंट अब काम नहीं करता है.
  • इसके लिए, federated फ़ील्ड के बजाय identity फ़ील्ड का इस्तेमाल करें navigator.credentials.get() कॉल.
  • url अब है configURL और इसके लिए पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए navigator.credentials.get() कॉल किया जा रहा है.
  • nonce अब navigator.credentials.get() के लिए एक वैकल्पिक पैरामीटर है.
  • hint अब इनके विकल्प के तौर पर उपलब्ध नहीं है navigator.credentials.get().
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (जून 2022)

Chrome 103 (मई 2022)

  • डेस्कटॉप एनवायरमेंट के साथ काम करता है.
  • डेस्कटॉप पर हर आरपी सेटिंग के साथ काम करता है.
  • कॉन्टेंट बनाने क्लाइंट मेटाडेटा का एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल भी देना ज़रूरी नहीं है.
  • दस्तावेज़ में, सीएसपी connect-src का इस्तेमाल करने के बारे में एक चेतावनी जोड़ी गई है.

संसाधन