Apps privilegiados, como navegadores da Web, podem fazer uma chamada do Gerenciador de credenciais em
nome de outras partes confiáveis definindo o parâmetro origin
nos métodos
GetCredentialRequest()
e
CreatePublicKeyCredentialRequest()
.
A origin
(link em inglês) representa o aplicativo ou site de origem de uma
solicitação e é usada pelas chaves de acesso como proteção contra ataques de phishing.
Os servidores de um app precisam conferir se os dados da origin
do cliente estão presentes em uma
lista de permissões de apps e sites aprovados. Se o servidor receber uma solicitação de
um app ou site de origem não reconhecida, ela será rejeitada.
Este documento descreve como definir a origem desses apps de chamada privilegiados
e como verificar se esses apps têm permissão para fazer chamadas em nome de
terceiros.
Definir a origem do app de chamada
Para receber credenciais em nome de outra parte confiável, o provedor das credenciais
precisa adicionar seu app a uma lista de autores de chamada privilegiados
que têm permissão para fazer esse acesso. Em seguida, use setOrigin()
nas
solicitações createCredential()
e getCredential()
para definir o
valor da origin
.
Em apps privilegiados, como navegadores da Web que precisam processar credenciais de terceiros, o Gerenciador de senhas do Google exige aprovação para fazer esse processamento. Isso garante que apenas apps confiáveis possam acessar e gerenciar credenciais de usuário de serviços externos. Se você quer receber aprovação para processar credenciais de terceiros, preencha o formulário de solicitação (em inglês) para abrir um tíquete.