תאריך פרסום: 13 בנובמבר 2024
החל מגרסה 132 של Chrome, גרסאות Chrome למחשב (macOS, Windows, Linux ו-ChromeOS) תומכות ב-Signal API, שמאפשר לשמור על עקביות בין מפתחות הגישה של ספקי מפתחות הגישה לבין פרטי הכניסה למפתח הציבורי בשרת של הצד הנסמך.
כשיוצרים מפתח גישה (פרטי כניסה שגלויים לכולם), מטא-נתונים כמו שם משתמש ושם מוצג נשמרים אצל ספק מפתח הגישה (למשל, מנהל סיסמאות) יחד עם המפתח הפרטי, ופרטי הכניסה של המפתח הציבורי נשמרים בשרת של הצד הנסמך (RP). שמירת שם המשתמש והשם המוצג עוזרת למשתמש לזהות איזה מפתח גישה להשתמש בו כדי להיכנס לחשבון, כי המשתמש מתבקש לבחור מפתח גישה בזמן הכניסה. האפשרות הזו מועילה במיוחד כשיש להם יותר משני מפתחות גישה מספקי מפתחות גישה שונים.
עם זאת, יש כמה מקרים שבהם הבדלים בין רשימת מפתחות הגישה אצל ספק מפתחות הגישה לבין רשימת פרטי הכניסה בשרת עלולים לגרום לבלבול.
התרחיש הראשון הוא כאשר משתמש מוחק פרטי כניסה בשרת, בלי לשנות את מפתח הגישה אצל ספק מפתח הגישה. בפעם הבאה שהמשתמש ינסה להיכנס באמצעות מפתח הגישה, ספק מפתח הגישה עדיין יציג אותו למשתמש. עם זאת, הניסיון להיכנס לחשבון נכשל כי השרת לא יוכל לבצע אימות באמצעות המפתח הציבורי שנמחק.
המקרה השני הוא כשמשתמש מעדכן את שם המשתמש או את השם המוצג שלו בשרת. בפעם הבאה שהמשתמש ינסה להיכנס, מפתח הגישה אצל ספק מפתחות הגישה ימשיך להציג את שם המשתמש והשם המוצג הישנים, למרות שהם עודכנו בשרת. רצוי שהם יהיו מסונכרנים.
Signal API
WebAuthn Signal API מאפשר ל-RPs לשלוח אות על פרטי כניסה קיימים לספקים מחוברים של מפתחות גישה. כך ספק מפתחות גישה נתמכים יכול לעדכן או להסיר מפתחות גישה שגויים או שבוטלו מהאחסון שלו, כדי שהם יהיו תואמים לשרת.
לדוגמה, אם משתמש לא מצליח להיכנס ל-RP כי פרטי הכניסה המשויכים לא קיימים יותר בשרת ה-RP, ה-RP יכול להשתמש ב-Signal API כדי להעביר אות לספק מפתח הגישה על כך שפרטי הכניסה שנמחקו כבר לא תקפים, וכך ספק מפתח הגישה יוכל למחוק את מפתח הגישה המשויך.
דוגמה נוספת היא כשמשתמש עובר לדף ההגדרות של ה-RP ומחק את פרטי הכניסה הקיימים. ה-RP יכול להשתמש ב-Signal API כדי לשלוח לספק מפתחות הגישה רשימה של פרטי הכניסה הזמינים, כדי שספק מפתחות הגישה יוכל לשמור על סנכרון של מפתחות הגישה המשויכים.
הוא יכול גם לסמן שם משתמש ותצוגה מעודכנים, כדי שאפשר יהיה לעדכן את המטא-נתונים של מפתח הגישה ששמורים לאותו משתמש.
לדוגמה, כשמשתמש מעדכן את שם המשתמש או השם המוצג שלו ב-RP, ה-RP יכול להשתמש ב-Signal API כדי להעביר את פרטי המשתמש המעודכנים לספק מפתח הגישה, כדי שספק מפתח הגישה יוכל לשמור על סנכרון של פרטי המשתמשים של מפתחות הגישה המשויכים.
מנהל הסיסמאות של Google במחשב עם Chrome מטמיע את Signal AP. ספקי מפתחות גישה שמבוססים על תוספים ל-Chrome יכולים להחליט אם לשקף את האות או לא.
אנחנו מתכננים להוסיף תמיכה ב-Signal API ב-Chrome ל-Android בעתיד.
במאמר שמירה על סנכרון של רשימת מפתחות הגישה עם השרת באמצעות Signal API מוסבר איך לשלב את WebAuthn Signal API.