API Signal per le passkey disponibile su Chrome per Android

José Luis Zapata
Nina Satragno
Nina Satragno
X

Data di pubblicazione: 5 dicembre 2025

A partire da Chrome 144, l'API Signal è disponibile su Chrome per Android. Questa API consente alle parti che fanno affidamento (RP) di mantenere le passkey memorizzate nel fornitore di passkey di un utente coerenti con le credenziali sul server.

Perché utilizzare l'API Signal?

Quando un utente crea una passkey, il provider di passkey (ad esempio Gestore delle password di Google) salva la chiave privata e i metadati (come nome utente e nome visualizzato), mentre il tuo server salva la chiave pubblica.

Nel tempo, questi dati possono non essere più sincronizzati. Ad esempio:

  • Passkey eliminata:un utente elimina le proprie credenziali sul tuo sito web, ma la passkey rimane nel provider di passkey. La volta successiva che l'utente tenta di accedere, il provider di passkey offre una passkey che non funziona più.
  • Modifiche del nome:un utente aggiorna il proprio nome utente sul tuo sito, ma il provider di passkey mostra ancora il vecchio nome.

L'API Signal risolve questo problema consentendo al tuo sito web di "segnalare" lo stato attuale delle credenziali al fornitore di passkey. Puoi chiedere al fornitore di eliminare le passkey non valide o aggiornare i metadati, garantendo un'esperienza di accesso senza problemi.

Novità

L'API Signal su Chrome per Android funziona in modo identico all'implementazione desktop, con miglioramenti specifici per l'ecosistema mobile.

Supporto dei gestori delle password di terze parti

L'API Signal è disponibile per Gestore delle password di Google su tutte le versioni di Android supportate. Su Android 14 e versioni successive, l'API Signal si integra anche con il provider di passkey del sistema. Quando Chrome trasmette un segnale su questi dispositivi, non è limitato al Gestore delle password di Google. Chrome invia il segnale a tutti i provider di passkey attivi sul dispositivo.

Se un utente gestisce le passkey con un provider di terze parti che supporta l'API Signal, questo provider riceve l'aggiornamento e mantiene sincronizzate le credenziali dell'utente.

Sincronizzazione più sicura con il ripristino delle passkey

Gestore delle password di Google supporta un meccanismo di sicurezza per gli aggiornamenti dell'API Signal sia su Android che su computer.

In precedenza, quando un RP segnalava che una credenziale era sconosciuta o rimossa, la passkey veniva eliminata definitivamente. Ora, Gestore delle password di Google nasconde la passkey anziché eliminarla.

  • Passkey nascoste: la passkey non viene più visualizzata nelle finestre di dialogo di compilazione automatica o accesso, evitando errori di accesso.
  • Ripristino:se il segnale è stato inviato per errore, la passkey può essere ripristinata.

Utilizzare l'API Signal

L'API Signal espone tre metodi per mantenere sincronizzate le credenziali:

  • Utilizza signalUnknownCredential quando un accesso con passkey non riesce perché l'ID credenziale non viene trovato sul tuo server. Questo indica al fornitore di rimuovere (o nascondere) la passkey non valida.
  • Utilizza signalAllAcceptedCredentials dopo che un utente ha eseguito l'accesso o gestito le impostazioni del proprio account. Fornisci un elenco di tutti gli ID credenziali validi per l'utente. Il fornitore di passkey confronta l'elenco con lo spazio di archiviazione locale per la relying party. Qualsiasi passkey trovata nel provider di passkey che non è inclusa nell'elenco allAcceptedCredentialIds è contrassegnata come "nascosta". Queste passkey nascoste non vengono più offerte per l'accesso o il riempimento automatico, ma non vengono eliminate definitivamente immediatamente, consentendo il ripristino, se necessario. Al contrario, le passkey presenti in allAcceptedCredentialIds contrassegnate come "nascoste" nel provider di passkey vengono ripristinate. In questo modo, il tuo sito web può ripristinare le passkey che erano state nascoste per errore.
  • Utilizza signalCurrentUserDetails quando un utente aggiorna il proprio profilo (ad esempio il nome visualizzato) sul tuo sito web e dopo ogni accesso. In questo modo, il fornitore di passkey mostrerà le informazioni corrette durante gli accessi futuri.

Riepilogo

L'API Signal ti aiuta a creare un'esperienza di autenticazione affidabile e intuitiva. Implementando questi indicatori, eviti la confusione causata da passkey obsolete e garantisci che gli utenti vedano sempre informazioni accurate sull'account.

Grazie al supporto ora disponibile su Chrome per Android, puoi offrire questa esperienza sincronizzata su dispositivi, fornitori di passkey e gestori di password.

Scopri di più