Privilegierte Apps wie Webbrowser können im Namen anderer vertrauender Parteien einen Aufruf des Anmeldedaten-Managers senden. Dazu legen Sie den Parameter origin in den Methoden GetCredentialRequest() und CreatePublicKeyCredentialRequest() des Anmeldedaten-Managers fest.
Der origin steht für die Anwendung oder Website, von der eine Anfrage stammt, und wird von Passkeys zum Schutz vor Phishingangriffen verwendet.
Die Server einer Anwendung müssen die Clientdaten origin mit einer Zulassungsliste genehmigter Apps und Websites vergleichen. Wenn der Server eine Anfrage von einer App oder Website erhält, die nicht erkannt wurde, sollte die Anfrage abgelehnt werden.
In diesem Dokument wird beschrieben, wie Sie den Ursprung für solche privilegierten Aufruf-Apps festlegen und prüfen, ob diese Apps Aufrufe im Namen anderer Parteien ausführen dürfen.
Ursprung der Anruf-App festlegen
Um Anmeldedaten im Namen einer anderen vertrauenden Partei abzurufen, muss der Anmeldedatenanbieter, der die Anmeldedaten bereitstellt, Ihre Anwendung einer Liste privilegierter Aufrufer hinzufügen, die einen solchen Zugriff erhalten dürfen. Verwenden Sie dann setOrigin() für createCredential()- und getCredential()-Anfragen, um den Wert origin festzulegen.
Bei privilegierten Anwendungen wie Webbrowsern, die Anmeldedaten von Dritten verarbeiten müssen, benötigt der Google Passwortmanager eine Genehmigung für die Verarbeitung dieser Anmeldedaten. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen auf Nutzeranmeldedaten für externe Dienste zugreifen und diese verwalten können. Um für die Verarbeitung von Anmeldedaten von Drittanbietern zugelassen zu werden, füllen Sie das Antragsformular aus, um ein Ticket zu erstellen und Ihre Anfrage prüfen zu lassen.