网络浏览器等特权应用可以通过在凭据管理器 GetCredentialRequest() 和 CreatePublicKeyCredentialRequest() 方法中设置 origin 参数,代表其他依赖方进行凭据管理器调用。
origin 表示发出请求的应用或网站,通行密钥使用它来防范钓鱼式攻击。应用服务器需要对照已批准的应用和网站许可名单检查客户端数据 origin。如果服务器从无法识别的来源收到来自应用或网站的请求,则应拒绝该请求。本文档介绍了如何为此类特权调用应用设置来源,以及如何验证此类应用是否可以代表其他方进行调用。
设置发起调用的应用的来源
如需代表其他依赖方获取凭据,提供凭据的凭据提供程序必须将您的应用添加到有权获取此类访问权限的特权调用方列表中。然后,对 createCredential() 和 getCredential() 请求使用 setOrigin(),以便设置 origin 值。
对于需要处理第三方凭据的特权应用(例如网络浏览器),Google 密码管理工具需要获得批准,才能处理这些凭据。这样可以确保只有受信任的应用才能针对外部服务访问和管理用户凭据。如需获准处理第三方凭据,请填写此请求表单,以便打开工单并将您的请求提交送审。