بدءًا من الإصدار 93 من متصفّح Chrome، يمكن للمواقع الإلكترونية إثبات ملكية أرقام الهواتف من متصفّح Chrome المتوافق مع أجهزة الكمبيوتر المكتبي.
تساعد أداة WebOTP المستخدمين على إدخال رمز التحقق من رقم الهاتف على موقع إلكتروني للأجهزة الجوّالة بنقرة واحدة بدون التبديل بين التطبيقات. ويعمل الإصدار 93 من Chrome على توسيع هذه الوظيفة لتشمل أجهزة الكمبيوتر المكتبي أيضًا. تابع القراءة لمعرفة المزيد.
مقدمة
يتم استخدام كلمات المرور التي تُستخدَم لمرة واحدة فقط عبر الرسائل القصيرة SMS لإثبات ملكية رقم الهاتف، مثلاً كخطوة ثانية في المصادقة، أو للتحقق من الدفعات على الويب. ومع ذلك، فإنّ التدفق الكامل للتبديل من سطح المكتب إلى الهاتف الجوّال، وفتح تطبيق SMS، وحفظ كلمة المرور لمرة واحدة (OTP) وإدخالها على الموقع الإلكتروني الأصلي مرة أخرى على سطح المكتب، يزيد من الصعوبات التي تواجهها. من السهل ارتكاب الأخطاء بهذه الطريقة، كما أنه يكون عرضة لهجمات التصيد الاحتيالي.
تتيح WebOTP API للمواقع الإلكترونية إمكانية الحصول آليًا على كلمة المرور التي تُستخدَم لمرة واحدة من خلال رسالة SMS، وملء النموذج تلقائيًا للمستخدمين بنقرة واحدة فقط بدون التبديل بين التطبيقات. تكون الرسالة القصيرة SMS بتنسيق محدّد ومرتبطة بالمصدر، لذا فهي تحدّ من خطر سرقة كلمة المرور لمرة واحدة (OTP) من مواقع إلكترونية للتصيّد الاحتيالي.
تتمثّل إحدى حالات الاستخدام التي لم تتوفّر بعد في WebOTP في استهداف طلبات إثبات ملكية رقم الهاتف من جهاز كمبيوتر مكتبي بعيد أو كمبيوتر محمول، علمًا بأنّ واجهة برمجة التطبيقات لا تعمل إلا على الأجهزة التي تتضمّن إمكانيات الاتصال الهاتفي. تتيح واجهة برمجة التطبيقات الآن الاستماع إلى الرسائل القصيرة SMS التي يتم تلقّيها على أجهزة أخرى لمساعدة المستخدمين في إكمال عملية إثبات ملكية رقم الهاتف على جهاز الكمبيوتر المكتبي في Chrome 93.
التجربة الآن
المتطلبات الأساسية
- جهاز كمبيوتر مكتبي أو كمبيوتر محمول (نظام التشغيل Windows أو Mac أو Linux أو ChromeOS).
- هاتف Android مزوَّد بالإصدار 20.30.12 من "خدمات Google Play" أو بإصدار أحدث
- الإصدار 93 من Chrome أو الإصدارات الأحدث، سواء على أجهزة الكمبيوتر المكتبي أو الكمبيوتر المحمول والأجهزة الجوّالة. يتوفّر الإصدار التجريبي من Chrome 93 اعتبارًا من أواخر تموز (يوليو) 2021.
- ستحتاج إلى تسجيل الدخول إلى حساب Google نفسه على كلٍّ من متصفّح Chrome على الكمبيوتر المكتبي وChrome للأجهزة الجوّالة. على سبيل المثال، من خلال https://myaccount.google.com/ أو https://mail.google.com، بدون الحاجة إلى تفعيل المزامنة.
- على جهاز Android، يجب تسجيل الدخول إلى Android من خلال "الإعدادات->Google".
- يجب أن يكون Chrome 93 هو المتصفّح التلقائي على جهاز Android.
- يجب تشغيل الإصدار 93 من Chrome في المقدّمة أو في الخلفية على جهاز Android.
الخصائص الديموغرافية
لتجربة هذه العملية السلِسة لإثبات ملكية رقم الهاتف على الكمبيوتر المكتبي بنفسك، يُرجى اتّباع الخطوات التالية:
- انتقِل إلى https://web-otp-demo.glitch.me/ على الكمبيوتر المكتبي. انقر على الزر إثبات الملكية.
- أرسل الرسالة النصية الدقيقة التي كانت على الشاشة من هاتف ثانٍ إلى جهاز Android.
- عندما يتم تسليم الرسالة القصيرة SMS إلى جهاز Android، يظهر مربع حوار يسألك عما إذا كنت تريد إثبات ملكية رقم الهاتف على سطح المكتب. اضغط على إرسال للموافقة.
- على الكمبيوتر المكتبي، يجب ملء رمز التحقق الذي تم إرساله إلى جهاز Android تلقائيًا في حقل الإدخال.
طريقة عمل WebOTP API
لنلقِ نظرة على آلية عمل واجهة برمجة تطبيقات WebOTP API:
…
const otp = await navigator.credentials.get({
otp: { transport:['sms'] }
});
if (otp.code) input.value = otp.code;
…
يجب تنسيق الرسالة القصيرة SMS باستخدام الرموز لمرة واحدة والمرتبطة بالمصدر.
Your OTP is: 123456.
@web-otp-demo.glitch.me #123456
لاحِظ أنّ السطر الأخير يحتوي على الأصل المطلوب ربطه بـ @ متبوعًا بكلمة OTP مسبوقة بالرمز #.
عندما تصل الرسالة النصية، ينبثق شريط معلومات ويطلب من المستخدم إثبات ملكية رقم هاتفه. بعد أن ينقر المستخدم على الزر "Verify"، سيعيد المتصفِّح تلقائيًا توجيه كلمة المرور لمرة واحدة (OTP) إلى الموقع الإلكتروني ويحلّ مشكلة
navigator.credentials.get(). يمكن للموقع بعد ذلك استخراج كلمة المرور لمرة واحدة
وإكمال عملية التحقق.
تعرَّف على مزيد من المعلومات من خلال إثبات ملكية أرقام الهواتف على الويب باستخدام WebOTP API.
كيفية استخدام WebOTP API على أجهزة الكمبيوتر المكتبي
يشيع استخدام إثبات ملكية رقم الهاتف عبر الرسائل القصيرة SMS ولا تقتصر على النظام الأساسي. يجب أن تكون أي حالات استخدام على الأجهزة المحمولة قابلة للتطبيق على أجهزة سطح المكتب.
يتم استخدام WebOTP API على أجهزة الكمبيوتر المكتبي بالطريقة نفسها المستخدَمة على الأجهزة الجوّالة، لذا يمكن للمواقع الإلكترونية نشر الرمز نفسه على جميع الأنظمة الأساسية.
إتاحة المتصفِّح وإمكانية التشغيل التفاعلي
تستند هذه الميزة إلى ميزة "مزامنة Chrome"، وبالتالي لا تعمل إلا على Chrome في الوقت الحالي. لا يتوفّر خيار تلقّي الرسائل القصيرة SMS أو إرسالها على نظام التشغيل iOS أو iPad في Chrome.
على الرغم من أنّ محركات المتصفّح الأخرى غير Chromium لا تنفّذ واجهة برمجة تطبيقات WebOTP API،
يتشارك Safari تنسيق الرسائل القصيرة SMS نفسه
مع دعم input[autocomplete="one-time-code"]. في Safari، ما دام المستخدم قد فعّل ميزة "المزامنة التلقائية" في iMessage عند وصول رسالة قصيرة SMS تحتوي على تنسيق رمز صالح لمرة واحدة يحتوي على المصدر المطابق على iOS أو iPadOS، تتم إعادة توجيه الرسالة إلى نظام التشغيل macOS. إذا ركز المستخدم على حقل الإدخال، سيقترح Safari
على المستخدم الدخول إليه.
إضافة ملاحظات
نستفيد كثيرًا من ملاحظاتك في تحسين واجهة برمجة تطبيقات WebOTP API. ننصحك بتجربة هذه الميزة وإعلامنا بها برأيك.
تصوير لويس فيلاسميل على موقع Unسبلاش