Gepubliceerd: 5 december 2025
Vanaf Chrome 144 is de Signal API beschikbaar in Chrome voor Android. Deze API stelt Relying Party's (RP's) in staat om de toegangssleutels die zijn opgeslagen in de toegangssleutelprovider van een gebruiker consistent te houden met de inloggegevens op de server.
Waarom de Signal API gebruiken?
Wanneer een gebruiker een wachtwoord aanmaakt, slaat de wachtwoordprovider (zoals Google Password Manager) de persoonlijke sleutel en metagegevens (zoals gebruikersnaam en weergavenaam) op, terwijl uw server de openbare sleutel opslaat.
Na verloop van tijd kunnen deze niet meer synchroon lopen. Bijvoorbeeld:
- Verwijderde toegangscode: Een gebruiker verwijdert zijn of haar inloggegevens op uw website, maar de toegangscode blijft in de toegangscodeprovider staan. De volgende keer dat de gebruiker zich probeert aan te melden, biedt de toegangscodeprovider een toegangscode aan die niet meer werkt.
- Naamswijzigingen: Een gebruiker wijzigt zijn gebruikersnaam op uw site, maar de toegangssleutelprovider toont nog steeds de oude naam.
De Signal API lost dit op door uw website de huidige status van de inloggegevens te laten "signaleren" aan de sleutelprovider. U kunt de provider opdracht geven om ongeldige sleutels te verwijderen of metadata bij te werken, wat zorgt voor een soepele inlogervaring.
Wat is er nieuw
De Signal API op Chrome voor Android werkt identiek aan de desktopimplementatie , met specifieke verbeteringen voor het mobiele ecosysteem.
Ondersteuning voor wachtwoordbeheerders van derden
De Signal API is beschikbaar voor Google Password Manager op alle ondersteunde Android-versies. Op Android 14 en hoger integreert de Signal API ook met de toegangssleutelprovider van het systeem. Wanneer Chrome een signaal uitzendt op deze apparaten, is dit niet beperkt tot Google Password Manager. Chrome stuurt het signaal naar alle ingeschakelde toegangssleutelproviders op het apparaat.
Als een gebruiker toegangscodes beheert via een externe provider die de Signal API ondersteunt, ontvangt die provider de update en zorgt ervoor dat de inloggegevens van de gebruiker gesynchroniseerd blijven.
Veiliger synchroniseren met wachtwoordherstel
Google Password Manager ondersteunt een veiligheidsmechanisme voor Signal API-updates op zowel Android als desktop.
Voorheen werd de toegangssleutel permanent verwijderd wanneer een RP aangaf dat een inloggegevens onbekend of verwijderd waren. Nu verbergt Google Password Manager de toegangssleutel in plaats van deze te verwijderen.
- Verborgen toegangssleutels: De toegangssleutel wordt niet meer weergegeven in dialoogvensters voor automatisch invullen of aanmelden, waardoor aanmeldingspogingen worden voorkomen.
- Herstel: Als het signaal per ongeluk is verzonden, kan de toegangscode worden hersteld.
Gebruik Signal de API
De Signal API biedt drie methoden om referenties gesynchroniseerd te houden:
- Gebruik
signalUnknownCredentialwanneer aanmelden met een wachtwoordsleutel mislukt omdat de inloggegevens niet op uw server worden gevonden. Dit geeft de provider het signaal om de ongeldige wachtwoordsleutel te verwijderen (of te verbergen). - Gebruik
signalAllAcceptedCredentialsnadat een gebruiker zich heeft aangemeld of zijn accountinstellingen heeft beheerd. U verstrekt een lijst met alle geldige referentie-ID's voor die gebruiker. De sleutelprovider vergelijkt de lijst met de lokale opslag van die vertrouwende partij. Elke sleutel die in de sleutelprovider wordt gevonden en niet in de lijstallAcceptedCredentialIdsstaat, wordt gemarkeerd als 'verborgen'. Deze verborgen sleutels worden niet langer aangeboden voor aanmelden of automatisch invullen, maar ze worden niet onmiddellijk permanent verwijderd, zodat ze indien nodig kunnen worden hersteld. Omgekeerd worden sleutels die aanwezig zijn inallAcceptedCredentialIdsen die in de sleutelprovider als 'verborgen' zijn gemarkeerd, hersteld. Dit stelt uw website in staat om sleutels te herstellen die ten onrechte verborgen waren. - Gebruik
signalCurrentUserDetailswanneer een gebruiker zijn profiel (zoals zijn weergavenaam) op uw website bijwerkt en na elke aanmelding. Dit zorgt ervoor dat de toegangssleutelprovider de juiste informatie weergeeft bij toekomstige aanmeldingen.
Samenvatting
Met de Signal API creëert u een betrouwbare en gebruiksvriendelijke authenticatie-ervaring. Door deze signalen te implementeren, voorkomt u verwarring door verouderde wachtwoorden en zorgt u ervoor dat gebruikers altijd de juiste accountgegevens zien.
Nu Chrome voor Android ondersteuning biedt, kunt u deze gesynchroniseerde ervaring op alle apparaten, via alle wachtwoordproviders en wachtwoordbeheerders aanbieden.
Meer informatie
- Volg updates op het Chrome Developers-blog
- Begin met het leren van toegangssleutels via Toegangssleutels gebruiken op het web