Cette page a été traduite par l'API Cloud Translation.

API Signal pour les clés d'accès disponible dans Chrome pour Android

José Luis Zapata

Nina Satragno

Date de publication : 5 décembre 2025

À partir de Chrome 144, l'API Signal est disponible sur Chrome pour Android. Cette API permet aux parties de confiance de maintenir la cohérence entre les clés d'accès stockées chez un fournisseur de clés d'accès et les identifiants sur le serveur.

Pourquoi utiliser l'API Signal ?

Lorsqu'un utilisateur crée une clé d'accès, le fournisseur de clés d'accès (tel que le Gestionnaire de mots de passe de Google) enregistre la clé privée et les métadonnées (comme le nom d'utilisateur et le nom à afficher), tandis que votre serveur enregistre la clé publique.

Au fil du temps, ces informations peuvent se désynchroniser. Exemple :

Clé d'accès supprimée : un utilisateur supprime son identifiant sur votre site Web, mais la clé d'accès reste dans son fournisseur de clés d'accès. La prochaine fois qu'il essaiera de se connecter, le fournisseur de clés d'accès lui proposera une clé d'accès qui ne fonctionne plus.
Changement de nom : un utilisateur modifie son nom d'utilisateur sur votre site, mais le fournisseur de clés d'accès affiche toujours l'ancien nom.

L'API Signal résout ce problème en permettant à votre site Web de "signaler" l'état actuel des identifiants au fournisseur de clés d'accès. Vous pouvez demander au fournisseur de supprimer les clés d'accès non valides ou de mettre à jour les métadonnées, ce qui garantit une expérience de connexion fluide.

Nouveautés

L'API Signal sur Chrome pour Android fonctionne de la même manière que l'implémentation pour ordinateur, avec des améliorations spécifiques pour l'écosystème mobile.

Compatibilité avec les gestionnaires de mots de passe tiers

L'API Signal est disponible pour le Gestionnaire de mots de passe de Google sur toutes les versions d'Android compatibles. Sur Android 14 et versions ultérieures, l'API Signal s'intègre également au fournisseur de clés d'accès du système. Lorsque Chrome diffuse un signal sur ces appareils, il ne se limite pas au Gestionnaire de mots de passe de Google. Chrome envoie le signal à tous les fournisseurs de clés d'accès activés sur l'appareil.

Si un utilisateur gère des clés d'accès avec un fournisseur tiers compatible avec l'API Signal, ce fournisseur reçoit la mise à jour et synchronise les identifiants de l'utilisateur.

Synchronisation plus sécurisée avec la restauration des clés d'accès

Le Gestionnaire de mots de passe Google est compatible avec un mécanisme de sécurité pour les mises à jour de l'API Signal sur Android et sur ordinateur.

Auparavant, lorsqu'un RP signalait qu'un identifiant était inconnu ou supprimé, la clé d'accès était définitivement supprimée. Désormais, le Gestionnaire de mots de passe de Google masque la clé d'accès au lieu de la supprimer.

Clés d'accès masquées : la clé d'accès n'apparaît plus dans les boîtes de dialogue de saisie automatique ou de connexion, ce qui évite les échecs de connexion.
Restauration : si le signal a été envoyé par erreur, la clé d'accès peut être restaurée.

Utiliser l'API Signal

L'API Signal expose trois méthodes pour synchroniser les identifiants :

Utilisez signalUnknownCredential lorsqu'une connexion avec une clé d'accès échoue, car l'ID d'identifiant est introuvable sur votre serveur. Cela indique au fournisseur de supprimer (ou de masquer) la clé d'accès non valide.
Utilisez signalAllAcceptedCredentials après qu'un utilisateur s'est connecté ou a géré les paramètres de son compte. Vous fournissez une liste de tous les ID d'identifiants valides pour cet utilisateur. Le fournisseur de clé d'accès compare la liste à son stockage local pour cette partie de confiance. Toute clé d'accès trouvée dans le fournisseur de clés d'accès qui ne figure pas dans la liste allAcceptedCredentialIds est marquée comme "masquée". Ces clés d'accès masquées ne sont plus proposées pour la connexion ni la saisie automatique, mais elles ne sont pas supprimées définitivement immédiatement, ce qui permet de les restaurer si nécessaire. Inversement, les clés d'accès présentes dans allAcceptedCredentialIds et marquées comme "masquées" dans le fournisseur de clés d'accès sont restaurées. Cela permet à votre site Web de restaurer les clés d'accès qui ont été masquées par erreur.
Utilisez signalCurrentUserDetails lorsqu'un utilisateur met à jour son profil (par exemple, son nom à afficher) sur votre site Web, et après chaque connexion. Cela permet au fournisseur de clés d'accès d'afficher les informations correctes lors des futures connexions.

Résumé

L'API Signal vous aide à créer une expérience d'authentification fiable et conviviale. En implémentant ces signaux, vous évitez toute confusion causée par des clés d'accès obsolètes et vous vous assurez que les utilisateurs voient toujours des informations de compte exactes.

La prise en charge étant désormais disponible sur Chrome pour Android, vous pouvez offrir cette expérience synchronisée sur les appareils, les fournisseurs de clés d'accès et les gestionnaires de mots de passe.

En savoir plus sur l'API Signals

En savoir plus

Suivez les mises à jour sur le blog des développeurs Chrome.
Commencez à découvrir les clés d'accès dans Utiliser des clés d'accès sur le Web.

API Signal pour les clés d'accès disponible dans Chrome pour Android Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.