發布日期:2024 年 9 月 4 日,上次更新日期:2024 年 10 月 16 日
數位憑證 API 的來源試用從 Chrome 128 開始。數位憑證 API 是新的網路平台 API,可讓網站透過數位憑證 (例如儲存在數位錢包中的駕照或身分證),選擇性要求使用者的可驗證資訊。
背景
許多公私實體開始發出裝置綁定的數位憑證,實體數位身分也因此成為現實。舉例來說,現在已可將部分美國州別 (例如亞利桑那州、加州、科羅拉多州、喬治亞州和馬里蘭州) 的駕照和身分證件,新增至行動裝置上的 Google 錢包等數位錢包應用程式。針對某些線上驗證程序接受數位憑證的相關法規也正在制定中,eIDAS 2.0 就是其中之一。
數位憑證的功能取決於其格式,但通常包括:
- 強化安全性和隱私權:使用進階加密和強驗證方法,有助於保護機密資料,並確保存取安全性。舉例來說,憑證的呈現通常會受到保護,使用者必須透過錢包應用程式進行驗證。
- 選擇性揭露:依賴方 (RP) 可從憑證要求特定資訊,讓使用者可將分享的資料限制在用途所需的範圍內。舉例來說,您可以分享使用者是否已滿 18 歲,但不透露使用者的出生日期。
- 互通性:憑證應遵循國際標準,以便在不同系統和國家/地區間相容,並利於跨國接受。
- 可驗證性:發出者會為共用的憑證資料加上數位簽名;RP 可以驗證這項簽名,確認資料的真實性。
由於數位憑證具有可驗證的特性,因此可用於以下用途:
- 年齡驗證:在提供年齡限制內容或購買年齡限制商品前,請先要求使用者驗證年齡。
- 身分驗證:要求提供姓名和地址,以便驗證使用者身分,以符合法律規定或防範詐欺。
- 駕駛執照檢查:驗證使用者是否符合駕駛資格 (例如租車時)。
由於網站已開始直接與行動錢包應用程式通訊 (例如使用自訂網址配置),以便針對各種用途要求數位憑證,因此瀏覽器可透過專用 API 讓這類互動更安全、更不易遭到濫用,也更容易使用。
數位憑證 API 簡介
Digital Credentials API 是一種新的網路平台 API,可讓 RP 網站要求錢包應用程式提供數位憑證。這個 API 可在 Chrome 中以來源試用功能提供,從 Chrome 128 開始。
這個 API 不受通訊協定限制,讓 RP 可根據需求指定通訊協定。當 RP 提出要求時,瀏覽器會將要求傳送至行動作業系統,後者會在已安裝的錢包應用程式中搜尋相符的憑證。如果找到任何一個,行動作業系統就會提示使用者選取一個,並將要求傳送至使用者選取的錢包。本機驗證完成後,錢包會傳回包含要求憑證資料的回應。
Chrome 將首先支援 Android 版 Chrome 中的 API,以便向同一部裝置上的錢包應用程式索取憑證。我們日後計畫支援 Chrome 電腦版,讓使用者透過其他行動裝置跨裝置要求憑證。
在推出時,Google 錢包將與數位憑證 API 整合,讓特定商家和機構可透過 Android 版 Chrome 向使用者提出要求,要求他們在線上出示身分證件,並檢查加密簽章,驗證傳輸資料的真實性。如要申請加入,請填寫這份表單,表示您有意願接受 Google 錢包中的數位身分證件。
Google 帳戶也即將使用這個 API 驗證特定使用者的出生日期。居住在支援的美國州的使用者,可以使用在可用的錢包應用程式 (包括 Google 錢包) 中提供的州身分證件或駕照,只與 Google 分享自己的出生日期,而不必分享其他身分詳細資料。這樣一來,使用者就能以保護隱私的方式向 Google 證明自己符合帳戶相關的年齡規定。
立即試用
需求條件:
- Google Play 服務 23.40 以上版本
- Chrome 128 以上版本
- 在
chrome://flags#web-identity-digital-credentials
啟用旗標
如要試用 Digital Credentials API,請按照以下操作說明操作:
- 按照操作說明安裝示範錢包應用程式。
- 在 Android 裝置上下載錢包應用程式示範版本。您可以在 OpenWallet Foundation 的身分憑證存放區中找到原始碼。
- 執行指令
adb install -t <path-to-apk>
安裝應用程式。
- 啟動 IC 錢包應用程式,並設定示範行動駕照 (mDL)。
- 輕觸選單按鈕,然後選取「新增自行簽署文件」。
- 使用 Chrome 128 以上版本前往 https://digital-credentials.dev。
- 按一下「Request Credentials (OpenID4VP)」。
請查看使用 https://digital-credentials.dev 的示範,這是開發人員用來產生不同屬性憑證要求的測試網站:
以下是示範的逐步操作方式:
API 運作方式
Digital Credentials API 建構於 Credential Management API 之上,但來自獨立的 API 途徑:navigator.identity
。網站可以呼叫 navigator.identity.get()
,要求儲存在行動錢包應用程式中的數位憑證。
// Gets a CBOR with specific fields out of mobile driver's license as an mdoc
const controller = new AbortController();
const {protocol, data} = await navigator.identity.get({
signal: controller.signal,
digital: {
providers: [{
protocol: "openid4vp",
request: {
response_type: "vp_token",
nonce: "n-0S6_WzA2Mj",
client_metadata: {...},
presentation_definition: {...}
}
}],
}
});
基本 API 途徑與 navigator.credentials.get()
類似,但只接受 "digital"
憑證類型。在數位憑證類型中,新增含有 IdentityRequestProvider
的 providers
陣列,並加入下列基本參數:
protocol
:使用字串指定交換協定。在來源測試期間,主要開發的通訊協定為"openid4vp"
。request
:填入數位錢包應用程式接受的指定通訊協定參數。針對"openid4vp"
,參數的定義請參閱 W3C Digital Credentials API 規格的 OpenID for Verifiable Presentation (OID4VP)。
使用 OID4VP 傳送至數位憑證類型的酬載範例:
{
protocol: 'openid4vp',
request: {
response_type: 'vp_token',
nonce: 'gf69kepV+m5tGxUIsFtLi6pwg=',
client_metadata: {},
presentation_definition: {
id: 'mDL-request-demo',
input_descriptors: [{
id: "org.iso.18013.5.1.mDL",
format: {
mso_mdoc: {
alg: ["ES256"]
}
},
constraints: {
limit_disclosure: "required",
fields: [
{
path: ["$['org.iso.18013.5.1']['family_name']"],
intent_to_retain: false
}, {
path: ["$['org.iso.18013.5.1']['given_name']"],
intent_to_retain: false
}, {
path: ["$['org.iso.18013.5.1']['age_over_21']"],
intent_to_retain: false
}
]
}
}],
}
}
}
透過這項要求,在裝置上有 mDL 的錢包會提供可驗證的憑證組合,其中包含:
- 使用者的姓氏。
- 使用者的名字。
- 布林值,指出使用者是否年滿 21 歲。
以下是回應酬載的範例:
{
data: '{\n "vp_token": "o2d2ZXJzaW9uYz..."\n}'
id: '',
protocol: 'openid4vp',
type: 'digital'
}
在這個範例中,系統使用 "openid4vp"
通訊協定要求憑證,且回應中包含 data
屬性中的 "vp_token"
。請參閱「W3C Digital Credentials API 的 OpenID for Verifiable Presentation (OID4VP)」規格,瞭解如何剖析回應並驗證憑證。
Android 版 Chrome 支援數位憑證 API,但目前為來源試用版。電腦版和 iOS 版 Chrome 目前不支援此功能。對於其他瀏覽器引擎,我們透過 W3C Web Incubator Community Group 積極促進對話。
參與來源試用
如要進行開發作業,您可以在 Chrome 128 以上版本中開啟 Chrome 旗標 chrome://flags#web-identity-digital-credentials
,在本機啟用數位憑證 API。
這項功能也提供原始試用版。來源試用計畫可讓您試用新功能,並針對其可用性、實用性和成效提供意見回饋給網頁標準社群。詳情請參閱「開始使用原點試用版」。如要註冊這項或其他原始試用方案,請前往註冊頁面。
- 為來源要求權杖。
- 將權杖加入網頁。您可以透過以下兩種方式完成:
- 在每個網頁的標頭中加入
origin-trial
<meta>
標記。例如:<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">.
- 如果您能設定伺服器,也可以使用
Origin-Trial
HTTP 標頭新增這個符記。產生的回應標頭應如下所示:Origin-Trial: TOKEN_GOES_HERE.
- 在每個網頁的標頭中加入
提供意見
如果您對 Digital Credentials API 有任何意見,請提交至專屬的 Chromium Issue Tracker。