Chrome 120에서는 FedCM용 Login Status API를 제공합니다. Login Status API (이전 명칭: IdP Sign-in Status API)를 사용하면 사용자가 로그인하거나 로그아웃할 때 웹사이트, 특히 ID 공급업체에서 브라우저에 신호를 보낼 수 있습니다. 이 신호는 FedCM이 자동 타이밍 공격 문제를 해결하기 위해 사용하며, 이렇게 하면 FedCM이 서드 파티 쿠키 없이 작동할 수 있습니다. 이 업데이트는 작업 범위의 일부로 FedCM 배송의 원래 인텐트에서 이전에 식별한 이전 버전과 호환되지 않는 마지막 변경사항을 처리합니다.
Login Status API는 개인 정보 보호 속성과 사용성을 개선하지만 제공된 후에는 이전 버전과 호환되지 않는 변경사항입니다. 기존 FedCM 구현이 있는 경우 다음 안내에 따라 업데이트해야 합니다.
또한 Chrome은 두 가지 새로운 Federated Credential Management(FedCM) 기능을 제공합니다.
- Error API: ID 어설션 엔드포인트의 서버 응답에 기반한 네이티브 UI로 로그인 시도가 실패하면 사용자에게 알립니다.
- Auto-Selected Flag API: 흐름에서 사용자 인증 정보가 자동으로 선택된 경우 ID 공급업체 (IdP) 및 신뢰 당사자 (RP)에 알립니다.
로그인 상태 API
Login Status API는 웹사이트, 특히 IdP가 IdP에서의 사용자 로그인 상태를 브라우저에 알리는 메커니즘입니다. 이 API를 사용하면 브라우저에서 IdP에 대한 불필요한 요청을 줄이고 잠재적인 타이밍 공격을 완화할 수 있습니다.
브라우저에 사용자의 로그인 상태 알림
IdP는 사용자가 IdP에 로그인했거나 사용자가 모든 IdP 계정에서 로그아웃되었을 때 HTTP 헤더를 전송하거나 JavaScript API를 호출하여 사용자의 로그인 상태를 브라우저에 알릴 수 있습니다. 각 IdP (구성 URL로 식별됨)의 경우 브라우저는 로그인 상태를 나타내는 3가지 상태 변수를 가능한 값 logged-in, logged-out, unknown로 유지합니다. 기본 상태는 unknown입니다.
사용자가 로그인했음을 알리려면 최상위 탐색 또는 동일 출처 하위 리소스 요청에서 Set-Login: logged-in HTTP 헤더를 전송합니다.
Set-Login: logged-in
또는 IdP 출처에서 JavaScript API navigator.login.setStatus('logged-in')를 호출합니다.
navigator.login.setStatus('logged-in');
이러한 호출은 사용자의 로그인 상태를 logged-in로 기록합니다. 사용자의 로그인 상태가 logged-in로 설정되면 FedCM을 호출하는 RP가 IdP의 계정 목록 엔드포인트에 대한 요청을 실행하고 FedCM 대화상자에서 사용 가능한 계정을 사용자에게 표시합니다.
사용자가 모든 계정에서 로그아웃되었음을 알리려면 최상위 탐색 또는 동일 출처 하위 리소스 요청에서 Set-Login:
logged-out HTTP 헤더를 전송합니다.
Set-Login: logged-out
또는 IdP 출처에서 JavaScript API navigator.login.setStatus('logged-out')를 호출합니다.
navigator.login.setStatus('logged-out');
이러한 호출은 사용자의 로그인 상태를 logged-out로 기록합니다. 사용자의 로그인 상태가 logged-out이면 IdP의 계정 목록 엔드포인트에 요청하지 않고 FedCM 호출이 자동으로 실패합니다.
unknown 상태는 IdP가 Login Status API를 사용하여 신호를 보내기 전에 설정됩니다. 이 API가 출시되었을 때 사용자가 이미 IdP에 로그인했을 수 있으므로 원활한 전환을 위해 이 상태를 도입했습니다. FedCM이 처음 호출될 때까지 IdP가 브라우저에 이를 알리지 못할 수 있습니다. 이 경우 IdP의 계정 목록 엔드포인트에 요청하고 계정 목록 엔드포인트의 응답에 따라 상태를 업데이트합니다.
- 엔드포인트가 활성 계정 목록을 반환하면 상태를
logged-in로 업데이트하고 FedCM 대화상자를 열어 해당 계정을 표시합니다. - 엔드포인트에서 계정이 반환되지 않으면 상태를
logged-out로 업데이트하고 FedCM 호출을 실패합니다.
사용자 세션이 만료되면 어떻게 되나요? 사용자가 동적 로그인 흐름을 통해 로그인하도록 합니다.
IdP가 사용자의 로그인 상태를 브라우저에 계속 알리지만 세션이 만료되는 등 상태가 동기화되지 않을 수 있습니다. 로그인 상태가 logged-in일 때 브라우저는 사용자 인증 정보가 있는 요청을 계정 목록 엔드포인트로 보내려고 시도하지만, 세션을 더 이상 사용할 수 없으므로 서버는 계정을 반환하지 않습니다. 이러한 시나리오에서는 브라우저에서 사용자가 대화상자 창을 통해 IdP에 로그인하도록 동적으로 허용할 수 있습니다.
FedCM 대화상자에 다음 이미지와 같이 로그인을 제안하는 메시지가 표시됩니다.
사용자가 계속 버튼을 클릭하면 브라우저에서 IdP 로그인 페이지 대화상자가 열립니다.
로그인 페이지 URL은 IdP 구성 파일의 일부로 login_url로 지정됩니다.
{
"accounts_endpoint": "/auth/accounts",
"client_metadata_endpoint": "/auth/metadata",
"id_assertion_endpoint": "/auth/idtokens",
"login_url": "/login"
}
}
대화상자는 퍼스트 파티 쿠키가 포함된 일반 브라우저 창입니다. 대화상자 내에서 발생하는 모든 상황은 IdP에서 결정하며 RP 페이지에 교차 출처 통신 요청을 하는 데 사용할 수 있는 창 핸들이 없습니다. 사용자가 로그인한 후 IdP는 다음을 수행해야 합니다.
Set-Login: logged-in헤더를 전송하거나navigator.login.setStatus("logged-in")API를 호출하여 사용자가 로그인되었음을 브라우저에 알립니다.IdentityProvider.close()를 호출하여 대화상자를 닫습니다.
데모에서 Login Status API 동작을 사용해 볼 수 있습니다.
- IdP로 이동하여 로그인 버튼을 탭합니다.
- 임의의 계정으로 로그인합니다.
- 계정 상태 드롭다운에서 세션 만료됨을 선택합니다.
- 개인 정보 업데이트 버튼을 누릅니다.
- RP를 방문하여 FedCM 사용해 보기 버튼을 탭합니다.
모듈 동작을 통해 IdP에 대한 로그인을 확인할 수 있어야 합니다.
오류 API
Chrome에서 ID 어설션 엔드포인트로 요청을 전송하면 (예: 사용자가 FedCM UI에서 다음으로 계속 버튼을 클릭하거나 자동 재인증이 트리거되는 경우) IdP가 합법적인 이유로 토큰을 발급하지 못할 수 있습니다. 예를 들어 클라이언트가 승인되지 않으면 일시적으로 서버를 사용할 수 없습니다. 현재 Chrome은 이러한 오류가 발생하는 경우 요청에 자동으로 실패하고 프로미스를 거부하여 RP에만 알립니다.
Error API를 사용하면 Chrome은 IdP에서 제공하는 오류 정보와 함께 네이티브 UI를 표시하여 사용자에게 알립니다.
IdP HTTP API
id_assertion_endpoint 응답에서 IdP는 요청 시 발급될 수 있는 경우 토큰을 브라우저에 반환할 수 있습니다. 이 제안서에서 토큰을 발급할 수 없는 경우 IdP는 2개의 새로운 선택 입력란이 있는 '오류' 응답을 반환할 수 있습니다.
codeurl
// id_assertion_endpoint response
{
"error": {
"code": "access_denied",
"url": "https://idp.example/error?type=access_denied"
}
}
코드의 경우 IdP는 OAuth 2.0 지정 오류 목록[invalid_request, unauthorized_client, access_denied, server_error, temporarily_unavailable] 에서 알려진 오류 중 하나를 선택하거나 임의의 문자열을 사용할 수 있습니다. 후자의 경우 Chrome은 일반 오류 메시지로 오류 UI를 렌더링하고 코드를 RP에 전달합니다.
url의 경우 오류에 관한 정보와 함께 사람이 읽을 수 있는 웹페이지를 식별하여 오류에 관한 추가 정보를 사용자에게 제공합니다. 브라우저가 네이티브 UI에서 풍부한 오류 메시지를 제공할 수 없으므로 이 필드는 사용자에게 유용합니다. 예를 들어 다음 단계에 대한 링크, 고객 서비스 연락처 정보 등이 있습니다. 사용자가 오류 세부정보와 해결 방법에 관해 자세히 알아보려면 브라우저 UI에서 제공된 페이지를 방문하여 자세한 내용을 확인할 수 있습니다. URL은 IdP configURL와 동일한 사이트여야 합니다.
try {
const cred = await navigator.credentials.get({
identity: {
providers: [
{
configURL: 'https://idp.example/manifest.json',
clientId: '1234',
},
],
}
});
} catch (e) {
const code = e.code;
const url = e.url;
}
자동 선택 플래그 API
mediation: optional는 Credential Management API의 기본 사용자 미디에이션 동작이며 가능한 경우 자동 재인증을 트리거합니다. 하지만 브라우저만 알고 있는 이유로 인해 자동 재인증을 사용할 수 없습니다. 자동 재인증을 사용할 수 없으면 다른 속성이 포함된 흐름인 명시적인 사용자 미디에이션으로 로그인하라는 메시지가 사용자에게 표시될 수 있습니다.
- API 호출자의 관점에서는 ID 토큰을 수신할 때 이 토큰이 자동 재인증 흐름의 결과인지 확인할 수 없습니다. 따라서 API 성능을 평가하고 그에 따라 UX를 개선하기 어렵습니다.
- IdP의 관점에서는 성능 평가를 위해 자동 재인증이 발생했는지 여부를 알 수 없습니다. 또한 명시적인 사용자 미디에이션이 관련되었는지 여부를 통해 더 많은 보안 관련 기능을 지원할 수 있습니다. 예를 들어 일부 사용자는 인증에서 명시적인 사용자 미디에이션이 필요한 더 높은 보안 등급을 선호할 수 있습니다. IdP가 이러한 미디에이션 없이 토큰 요청을 수신하면 요청을 다르게 처리할 수 있습니다. 예를 들어 RP가
mediation: required를 사용하여 FedCM API를 다시 호출할 수 있도록 오류 코드를 반환합니다.
따라서 자동 재인증 흐름의 가시성을 제공하면 개발자에게 도움이 됩니다.
Auto-selected Flag API를 통해 Chrome은 자동 재인증이 발생하거나 명시적 미디에이션이 발생할 때마다 IdP와 RP 모두에서 다음으로 계속 버튼을 탭하여 명시적 사용자 권한을 획득했는지 공유합니다. 공유는 IdP/RP 통신을 위한 사용자 권한이 부여된 후에만 이루어집니다.
IdP 공유
사용자 권한 후 IdP에 정보를 공유하기 위해 Chrome은 id_assertion_endpoint로 전송되는 POST 요청에 is_auto_selected=true를 포함합니다.
POST /fedcm_assertion_endpoint HTTP/1.1
Host: idp.example
Origin: https://rp.example/
Content-Type: application/x-www-form-urlencoded
Cookie: 0x23223
Sec-Fetch-Dest: webidentity
account_id=123&client_id=client1234&nonce=Ct0D&disclosure_text_shown=true&is_auto_selected=true
RP 공유
브라우저는 IdentityCredential를 통해 isAutoSelected의 RP에 정보를 공유할 수 있습니다.
const cred = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/manifest.json',
clientId: '1234'
}]
}
});
if (cred.isAutoSelected !== undefined) {
const isAutoSelected = cred.isAutoSelected;
}
참여 및 의견 공유
의견이 있거나 테스트 중에 문제가 발생하면 crbug.com에서 공유할 수 있습니다.
사진: Girl with red hat(Unsplash 제공)