از Chrome 123، میتوانید از Domain Hints در کنار API مدیریت اعتبار فدرال (FedCM) استفاده کنید. با Domain Hint API، توسعهدهندگان میتوانند تنها با نشان دادن حسابهای ورود فدرال از دامنهای که میپذیرند، تجربه کاربری بهتری را ارائه دهند.
Domain Hint API
FedCM میتواند برای آسانتر کردن ورود کاربر به یک طرف متکی (RP، اشاره به یک وبسایت) با استفاده از اطلاعات حساب ارائهشده توسط یک ارائهدهنده هویت (IdP) استفاده شود. با این حال، مواردی وجود دارد که RP از قبل می داند که فقط حساب های مرتبط با یک دامنه خاص مجاز به ورود به سایت هستند. این امر به ویژه در سناریوهای سازمانی که در آن سایت مورد دسترسی محدود به یک دامنه شرکتی است، رایج است. برای ارائه تجربه کاربری بهتر، FedCM API به RP اجازه میدهد فقط حسابهایی را که ممکن است برای ورود به RP استفاده شوند، نشان دهد. این از سناریوهایی جلوگیری می کند که در آن کاربر سعی می کند با استفاده از حسابی خارج از دامنه شرکتی به RP وارد شود، اما بعداً با یک پیام خطا (یا در مواردی که ورود کار نمی کند خاموش شود) به دلیل استفاده نکردن از نوع درست حساب، به او نمایش داده می شود.
با Domain Hint API، RP ها می توانند ویژگی domainHint را در فراخوانی API FedCM مشخص کنند تا فقط حساب های منطبق را برای کاربر نشان دهد. IdP میتواند یک ویژگی domain_hints به عنوان بخشی از پاسخ از نقطه پایانی فهرست حسابها ارائه کند تا نشان دهد که یک حساب با کدام دامنه(ها) مرتبط است. به این ترتیب، مرورگر میتواند حسابهای منطبق را بدون افشای اشاره دامنه درخواستی به IdP نشان دهد.
یک نمونه پاسخ JSON از نقطه پایانی لیست حساب ها به شکل زیر است:
{
"accounts": [{
"id": "1234",
"given_name": "John",
"name": "John Doe",
"email": "john_doe@idp.example",
"picture": "https://idp.example/profile/123",
"approved_clients": ["123", "456", "789"],
}, {
"id": "5678",
"given_name": "Johnny",
"name": "Johnny",
"email": "johnny@idp.example",
"picture": "https://idp.example/profile/456"
"approved_clients": ["abc", "def", "ghi"],
"domain_hints": ["corp.example"]
}]
}
RP میتواند navigator.credentials.get() را با ویژگی domainHint فراخوانی کند تا حسابها را فیلتر کند. به عنوان مثال، فرض کنید یک کاربر از corp-partner.example بازدید می کند و با حسابی از corp.example وارد سیستم می شود. سایت API را به صورت زیر فراخوانی می کند:
return await navigator.credentials.get({
identity: {
providers: [{
configURL: "https://idp.example/manifest.json",
clientId: "abc",
nonce: nonce,
domainHint : "corp.example"
}]
}
});
مقدار domainHint برای فیلتر سمت سرور به نقطه پایانی فهرست حسابها ارسال نمیشود، زیرا میتواند یک بردار اثر انگشت برای IdP باشد. در عوض، Chrome طبق معمول درخواست FedCM را انجام میدهد و حسابهایی را که با مقدار domainHint تعیینشده توسط فراخوان navigator.credentials.get() مطابقت ندارند فیلتر میکند. سپس، کروم گفتگوی FedCM را با لیست حساب های جدید به کاربر نشان می دهد. این رویکرد شبیه به Login Hint API است، اما این دو API به سوالات متفاوتی پاسخ میدهند. هدف Login Hint API پاسخ دادن به این سوال است که "یک شناسه برای کاربر مورد نظر من چیست؟"، در حالی که Domain Hint به دنبال پاسخ "این حساب باید متعلق به کدام شرکت یا سرور باشد؟" است.
هنگامی که domainHint: "any" استفاده می شود، Chrome حساب هایی را که هیچ دامنه ای ندارند فیلتر می کند (یعنی domain_hints ارسال نمی شود یا خالی است). به عنوان مثال، این امکان استفاده از مواردی را فراهم می کند که RP فقط به حساب های مدیریت شده در فرآیند ثبت نام خود اجازه می دهد.
وقتی هیچ حسابی با domainHint مطابقت نداشته باشد، کادر گفتگوی FedCM یک اعلان ورود را نشان میدهد که به کاربر اجازه میدهد به یک حساب IdP مطابق با راهنمایی درخواست شده توسط RP وارد شود. هنگامی که کاربر روی درخواست ضربه می زند، یک پنجره بازشو با URL ورود به سیستم مشخص شده در فایل پیکربندی باز می شود. سپس پیوند با اشاره ورود و پارامترهای پرس و جو اشاره دامنه اضافه می شود.
domainHint مطابقت نداشته باشد.