אפליקציות עם הרשאות מיוחדות, כמו דפדפני אינטרנט, יכולות לבצע קריאה ל-Credential Manager בשם צדדים מסתמכים אחרים על ידי הגדרת הפרמטר origin בשיטות GetCredentialRequest() ו-CreatePublicKeyCredentialRequest() של Credential Manager.
הערך origin מייצג את האפליקציה או האתר שממנו מגיעה הבקשה, והוא משמש את מפתחות הגישה להגנה מפני התקפות פישינג.
השרתים של האפליקציה נדרשים לבדוק את נתוני הלקוח origin מול רשימת ההיתרים של אפליקציות ואתרים מאושרים. אם השרת מקבל בקשה מאפליקציה או מאתר ממקור לא מוכר, הבקשה צריכה להידחות.
במאמר הזה מוסבר איך להגדיר את המקור של אפליקציות כאלה עם הרשאות מיוחדות לביצוע שיחות, ואיך לוודא שהאפליקציות האלה מורשות לבצע שיחות בשם גורמים אחרים.
הגדרת המקור של אפליקציית השיחות
כדי לקבל פרטי כניסה בשם צד נסמך אחר, ספק פרטי הכניסה שסיפק את פרטי הכניסה צריך להוסיף את האפליקציה שלכם לרשימה של מתקשרים עם הרשאות מיוחדות שמורשים לקבל גישה כזו. לאחר מכן, משתמשים ב-setOrigin() בבקשות createCredential() ו-getCredential() כדי להגדיר את הערך origin.
כדי שמנהל הסיסמאות של Google יוכל לטפל בפרטי כניסה של צד שלישי באפליקציות עם הרשאות מיוחדות, כמו דפדפני אינטרנט, צריך לאשר את הטיפול בפרטי הכניסה האלה. כך אפשר לוודא שרק אפליקציות מהימנות יכולות לגשת לפרטי הכניסה של המשתמשים לשירותים חיצוניים ולנהל אותם. כדי לקבל אישור לטיפול בפרטי כניסה של צד שלישי, צריך למלא את טופס הבקשה כדי לפתוח כרטיס ולבקש בדיקה.