फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के अपडेट

फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई को Chrome108 में शिप किया जाता है. हालांकि, इसमें बेहतर बदलाव हो सकता है. कोई नुकसान पहुंचाने वाला कोई बदलाव नहीं किया गया है.

ये अपडेट किसके लिए हैं?

ये अपडेट आपके लिए हैं, अगर:

• आप आईडीपी (IdP) के तौर पर, फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई का इस्तेमाल कर रहे/रही हैं.
• आप एक आईडीपी या आरपी हैं और आपको अपने काम के हिसाब से एपीआई का इस्तेमाल करना है. उदाहरण के लिए, आपने FedID CG रिपॉज़िटरी पर हुई चर्चा देखी है या उसमें हिस्सा लिया है और आपको एपीआई में किए गए बदलावों के बारे में जानना है.
• आप एक ब्राउज़र वेंडर हैं और एपीआई के लागू होने की स्थिति के बारे में जानना है.

अगर आपने इस एपीआई का इस्तेमाल पहले नहीं किया है या आपने अभी तक इसे इस्तेमाल नहीं किया है, तो फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई के बारे में जानकारी पढ़ें.

बदलावों का लॉग

FedCM API में हुए बदलावों के बारे में अपडेट पाने के लिए, हमारे न्यूज़लेटर की सदस्यता लें.

Chrome 125 (अप्रैल 2024)

• स्पेसिफ़िकेशन में, "खातों की सूची के एंडपॉइंट" का नाम बदलकर "खाते के एंडपॉइंट" कर दिया गया है. इसलिए, हमारे दस्तावेज़ उसी हिसाब से अलाइन किए गए हैं.
• बटन मोड एपीआई का ऑरिजिन ट्रायल, Chrome डेस्कटॉप 125 पर उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM अपडेट: बटन मोड एपीआई ऑरिजिन ट्रायल, सीओआरएस, और SameSite पर जाएं.
• सीओआरएस को Chrome 125 और उसके बाद के वर्शन पर लागू होने वाले आईडी दावे के एंडपॉइंट पर लागू किया गया है.
• Chrome 125 से, आईडी पता लगाने वाले एंडपॉइंट और खातों के एंडपॉइंट को सिर्फ़ SameSite=None के तौर पर मार्क की गई कुकी भेजेगा.

Chrome 123 (फ़रवरी 2024)

• Domain Hint API के लिए सहायता जोड़ी गई. डोमेन हिंट एपीआई, आरपी को FedCM API कॉल पर domainHint प्रॉपर्टी तय करने की अनुमति देता है, ताकि उपयोगकर्ता से मिलते-जुलते खाते ही दिखाए जा सकें.

Chrome 122 (जनवरी 2024)

• डिसकनेक्ट एपीआई के लिए सहायता जोड़ी गई. डिसकनेक्ट एपीआई, तीसरे पक्ष की कुकी के बिना, आरपी को अपने उपयोगकर्ताओं को आईडीपी (IdP) के खाते से डिसकनेक्ट करने की अनुमति देता है.
• आरपी और आईडीपी (IdP) एक ही साइट पर हों, इसलिए जांच करने की सुविधा /.well-known/web-identity को स्किप कर दिया जाता है.
• सबरिसॉर्स अब एक ही साइट पर लॉगिन की स्थिति सेट कर सकते हैं.

Chrome 121 (दिसंबर 2023)

• FedCM के अपने-आप फिर से पुष्टि करने की सुविधा ट्रिगर करने के लिए आसान शर्त:
  • FedCM में अपने-आप फिर से पुष्टि करने की सुविधा सिर्फ़ तब ट्रिगर होती है, जब उपयोगकर्ता वापस आ रहा है. इसका मतलब है कि अपने-आप फिर से पुष्टि करने की सुविधा को ट्रिगर करने से पहले, उपयोगकर्ता को हर ब्राउज़र पर एक बार FedCM का इस्तेमाल करके, आरपी में साइन इन करना होगा. शुरुआत में यह सुविधा, पहचान देने वाली सेवा (आईडीपी) होने का दिखावा करने वाले ट्रैकर के जोखिम को कम करने के लिए शुरू की गई थी. साथ ही, यह ब्राउज़र को उपयोगकर्ता की जानकारी या सहमति के बिना, उसकी अपने-आप पुष्टि करने के लिए गुमराह करने की कोशिश कर रही थी. हालांकि, अगर ट्रैकर के पास आरपी कॉन्टेक्स्ट पर तीसरे पक्ष की कुकी का ऐक्सेस है, तो यह डिज़ाइन निजता के फ़ायदे की गारंटी नहीं दे सकता. FedCM, तीसरे पक्ष की कुकी की मदद से कुछ सुविधाएं ही उपलब्ध कराता है. इसलिए, अगर आरपी के कॉन्टेक्स्ट के हिसाब से ट्रैकर के पास पहले से ही तीसरे पक्ष की कुकी का ऐक्सेस है, तो FedCM के ऐक्सेस से निजता को कोई खतरा नहीं होता है.
    तीसरे पक्ष की कुकी का इस्तेमाल कानूनी तौर पर किया जा सकता है. साथ ही, इस स्थिति में छूट देने से उपयोगकर्ता अनुभव बेहतर होगा. इसलिए, अब Chrome 121 का इस्तेमाल किया जा रहा है. हमने शर्त पर लगी पाबंदी में रियायत दी है, ताकि उपयोगकर्ता को वापस लौटने वाला उपयोगकर्ता माना जा सके: अगर आरपी के कॉन्टेक्स्ट पर आईडीपी के लिए तीसरे पक्ष की कुकी उपलब्ध हैं, तो Chrome approved_clients की सूची में बताए गए उपयोगकर्ता के खाते की स्थिति के बारे में, आईडीपी के दावे पर भरोसा करेगा. साथ ही, लागू होने पर, उपयोगकर्ता की फिर से पुष्टि करने की सुविधा को अपने-आप ट्रिगर कर देगा. तीसरे पक्ष की कुकी: इनमें उपयोगकर्ता सेटिंग, एंटरप्राइज़ की नीतियां, अनुभव से जुड़ी जानकारी (Safari, Firefox, Chrome) और दूसरे वेब प्लैटफ़ॉर्म के एपीआई (जैसे, स्टोरेज के ऐक्सेस एपीआई) शामिल हैं. ध्यान दें कि अगर आने वाले समय में आईडीपी (IdP) तीसरे पक्ष की कुकी का ऐक्सेस खो देता है, लेकिन किसी उपयोगकर्ता ने पहले कभी भी FedCM यूज़र इंटरफ़ेस (यूआई) की अनुमति (उदाहरण के लिए, इस रूप में जारी रखें बटन पर क्लिक करना) नहीं दी है, तब भी उसे नया उपयोगकर्ता माना जाएगा.
    डेवलपर को कोई कार्रवाई करने की ज़रूरत नहीं है. ध्यान दें कि अगर आईडीपी (IdP) के पास तीसरे पक्ष की कुकी का ऐक्सेस है और यह दावा किया गया है कि उपयोगकर्ता ने पहले आरपी पर खाता बनाया है, तो इस बदलाव से अपने-आप फिर से पुष्टि करने की प्रोसेस ज़्यादा ट्रिगर हो सकती है.

Chrome 120 (नवंबर 2023)

• Chrome 120 में इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
  • लॉगिन स्टेटस एपीआई: लॉगिन स्टेटस एपीआई एक ऐसा तरीका है जिसमें वेबसाइट, खास तौर पर आईडीपी, उपयोगकर्ता के लॉगिन स्टेटस की जानकारी देती है. इस एपीआई की मदद से, ब्राउज़र, आईडीपी (IdP) से किए जाने वाले गैर-ज़रूरी अनुरोधों को कम कर सकता है और टाइमिंग हमलों को कम कर सकता है. FedCM के लिए, लॉगिन स्टेटस एपीआई ज़रूरी है. इस बदलाव के बाद, तीसरे पक्ष की कुकी ब्लॉक होने पर, FedCM को चालू करने के लिए chrome://flags/#fedcm-without-third-party-cookies फ़्लैग की ज़रूरत नहीं होगी.
  • गड़बड़ी एपीआई: Error API, आईडीपी (IdP) से मिली गड़बड़ी की जानकारी के साथ ब्राउज़र का यूज़र इंटरफ़ेस (यूआई) दिखाकर उपयोगकर्ता को इसकी सूचना देता है.
  • Auto-Selected Flag API: अपने-आप फिर से पुष्टि होने या कोई साफ़ मीडिएशन होने पर, Auto-Selected Flag API यह शेयर करता है कि क्या आईडीपी और आरपी, दोनों के साथ इस रूप में जारी रखें बटन पर टैप करके, उपयोगकर्ता से साफ़ तौर पर अनुमति ली गई या नहीं. आईडीपी (IdP) और आरपी कम्यूनिकेशन के लिए, उपयोगकर्ता की अनुमति मिलने के बाद ही जानकारी शेयर की जाती है.

Chrome 117 (सितंबर 2023)

• Chrome 117 से, Android पर आईडीपी साइन-इन स्टेटस एपीआई का ऑरिजिन ट्रायल उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह में जाएं.

Chrome 116 (अगस्त 2023)

• Chrome 116 में इन तीन सुविधाओं के लिए सहायता जोड़ी गई:
  • लॉगिन हिंट एपीआई: साइन इन करने के लिए पसंदीदा उपयोगकर्ता खाता चुनें.
  • User Info API: लौटने वाले उपयोगकर्ता की जानकारी फ़ेच करें, ताकि आइडेंटिटी प्रोवाइडर (आईडीपी) किसी iframe में जाकर, अपने हिसाब से साइन-इन करने का बटन रेंडर कर सके.
  • RP कॉन्टेक्स्ट एपीआई: FedCM डायलॉग में 'साइन इन करें' से अलग टाइटल का इस्तेमाल करें.
• आईडीपी (IdP) साइन-इन स्टेटस एपीआई के लिए, ऑरिजिन ट्रायल की सुविधा उपलब्ध है. इसके बारे में ज़्यादा जानने के लिए, FedCM के अपडेट: IdP साइन-इन स्टेटस एपीआई, लॉगिन हिंट वगैरह में जाएं.

Chrome 115 (जून 2023)

• अपने-आप फिर से पुष्टि करने की सुविधा जोड़ी गई. इससे उपयोगकर्ता, FedCM की मदद से पहली बार पुष्टि करने के बाद, अपने-आप फिर से पुष्टि करने की सुविधा का इस्तेमाल कर सकते हैं. इससे उपयोगकर्ता अनुभव बेहतर होता है. साथ ही, शुरुआती सहमति के बाद आरपी की, फिर से पुष्टि करने में आसानी होती है. FedCM की अपने-आप फिर से पुष्टि करने के बारे में ज़्यादा जानें.

Chrome 110 (फ़रवरी 2023)

• आईडी दावे के एंडपॉइंट के लिए, आईडीपी को Referer हेडर के बजाय Origin हेडर की जांच करनी होगी. इससे यह पता चलेगा कि वैल्यू, क्लाइंट आईडी के ऑरिजिन से मेल खाती है या नहीं.
• FedCM के लिए क्रॉस-ऑरिजिन iframe की सुविधा अब उपलब्ध है. एम्बेड करने वाले व्यक्ति को अनुमतियों से जुड़ी नीति identity-credentials-get के बारे में बताना चाहिए, ताकि एम्बेड किए गए क्रॉस-ऑरिजिन iframe में FedCM API को अनुमति दी जा सके. क्रॉस-ऑरिजिन iframe का उदाहरण देखें.
• Chrome का नया फ़्लैग chrome://flags/#fedcm-without-third-party-cookies जोड़ा गया. इस फ़्लैग की मदद से, तीसरे पक्ष की कुकी को ब्लॉक करके, Chrome में FedCM फ़ंक्शन की जांच की जा सकती है. ज़्यादा जानकारी के लिए, FedCM के दस्तावेज़ देखें.

Chrome 108 (अक्टूबर 2022)

• दस्तावेज़ में "टॉप-लेवल मेनिफ़ेस्ट" को अब "लोकप्रिय फ़ाइल" कहा जाता है. लागू करने के लिए किसी बदलाव की ज़रूरत नहीं है.
• दस्तावेज़ में, "IdP मेनिफ़ेस्ट" को अब "config फ़ाइल" कहा जाता है. लागू करने में कोई बदलाव करने की ज़रूरत नहीं है.
• "config फ़ाइल" में id_token_endpoint का नाम बदलकर id_assertion_endpoint कर दिया गया है.
• आईडीपी (IdP) के अनुरोध में, अब Sec-FedCM-CSRF: ?1 हेडर के बजाय Sec-Fetch-Dest: webidentity हेडर शामिल होता है.

Chrome 105 (अगस्त 2022)

• दस्तावेज़ में, सुरक्षा से जुड़ी अहम जानकारी जोड़ी गई है. आइडेंटिटी प्रोवाइडर (आईडीपी) को यह देखना होगा कि Referer हेडर, आईडी टोकन एंडपॉइंट पर पहले से रजिस्टर किए गए ऑरिजिन से मैच करता है या नहीं.
• टॉप-लेवल मेनिफ़ेस्ट का नाम बदलकर /.well-known/fedcm.json से /.well-known/web-identity कर दिया गया है. साथ ही, provider_urls में दिए गए यूआरएल में फ़ाइल का नाम शामिल होना चाहिए.
• FederatedCredential इंस्टेंस पर login(), logout(), और revoke() तरीके अब उपलब्ध नहीं हैं.
• फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई अब FederatedCredential के बजाय, IdentityCredential के नए टाइप का इस्तेमाल करता है. इसका इस्तेमाल सुविधा की पहचान करने के लिए किया जा सकता है, लेकिन यह काफ़ी हद तक न दिखने वाला बदलाव है.
• लॉगिन फ़ंक्शन को navigator.credentials.get() और FederatedCredential.prototype.login() के कॉम्बिनेशन से navigator.credentials.get() पर ले जाएं.
• मेनिफ़ेस्ट में अब सहमति रद्द करने का एंडपॉइंट काम नहीं करता है.
• navigator.credentials.get() कॉल के लिए, federated फ़ील्ड के बजाय identity फ़ील्ड का इस्तेमाल करें.
• url अब configURL है. इसे navigator.credentials.get() कॉल के पाथ के बजाय, मेनिफ़ेस्ट JSON फ़ाइल का पूरा यूआरएल होना चाहिए.
• nonce अब navigator.credentials.get() के लिए एक वैकल्पिक पैरामीटर है.
• navigator.credentials.get() के विकल्प के तौर पर, अब hint उपलब्ध नहीं है.

const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (जून 2022)

• आईडी टोकन एंडपॉइंट पर भेजा गया consent_acquired पैरामीटर अब disclosure_text_shown है. इस वैल्यू में कोई बदलाव नहीं हुआ है.
• IdP मेनिफ़ेस्ट के ब्रैंडिंग आइकॉन ने SVG इमेज का इस्तेमाल करना बंद कर दिया है, लेकिन अब इन्हें आरपी की कॉन्टेंट की सुरक्षा के बारे में नीति के तहत अनुमति देने की ज़रूरत नहीं है.

Chrome 103 (मई 2022)

• इसे डेस्कटॉप पर भी इस्तेमाल किया जा सकता है.
• डेस्कटॉप पर हर आरपी की सेटिंग का इस्तेमाल किया जा सकता है.
• क्लाइंट मेटाडेटा एंडपॉइंट अब ज़रूरी नहीं है. इस एंडपॉइंट में, निजता नीति का यूआरएल भी ज़रूरी नहीं है.
• दस्तावेज़ में सीएसपी connect-src का इस्तेमाल करने के बारे में एक चेतावनी जोड़ी गई.

रिसॉर्स

• फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट के बारे में जानकारी
• फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई: डेवलपर गाइड