תודה שצפית ב-Google I/O! צפייה בתוכן על פי דרישה.

מפתחות גישה מאובטחים ופשוטים: רשימת משימות לפריסה

Eiji Kitamura

תאריך פרסום: 5 ביוני 2025

מפתחות גישה נועדו לשנות את חוויית הכניסה לחשבון, והם מציעים חלופה פשוטה, מהירה ומאובטחת יותר לסיסמאות. רשימת המשימות הזו תעזור לכם להבין את ההיבטים העיקריים של הטמעת מפתחות גישה, כדי להשיג תוצאות אופטימליות מבחינת חוויית המשתמש.

איך משתמשים ברשימת המשימות הזו

רשימת הבדיקות הזו מיועדת למפתחים ולצוותי מוצר שמטמיעים מפתחות גישה בתהליכי האימות שלהם. אפשר להשתמש בשיטה הזו כדי:

חשוב לוודא שההטמעה שלכם תואמת לשיטות המומלצות המודרניות לחוויית משתמש עם מפתחות גישה, שמתוארות במאמרים הבאים.
לזהות רכיבים נדרשים ואופציונליים שמשפרים את השימושיות, האבטחה והתאימות.
בדקו את ההטמעה במהלך הפיתוח ולפני הפריסה.
לפעול לפי שיטות מומלצות שתומכות באימוץ על ידי המשתמשים ובפעולה הדדית של המערכת.

ההנחיות האלה עוזרות לכם לספק חוויה חלקה ומאובטחת למשתמשי הקצה.

רישום מפתחות גישה

כדי לבצע מעבר חלק מסיסמאות למפתחות גישה באתר שלכם, חשוב שתהיה לכם יכולת רישום מתקדמת של מפתחות גישה. כדי ליצור תכונה של רישום מפתחות גישה באתר, פועלים לפי ההוראות במאמר יצירת מפתח גישה לכניסה ללא סיסמה. אלה הדברים שכדאי לבדוק בנוסף לתכונות הבסיסיות של רישום מפתחות גישה:

‫✅ מציינים את הערך "platform" כערך של קובץ מצורף לאמצעי האימות כדי להעביר אותו אל navigator.credentials.create() ליצירת מפתח גישה מקודם.

לספק תהליך אופטימלי ופשוט ליצירת מפתח גישה למי שיוצר מפתח גישה באופן תגובתי.

‫✅ לפני שמאפשרים למשתמש ליצור מפתח גישה, צריך לאמת אותו באמצעות שיטת האימות החזקה ביותר שזמינה לו.

הפעולה הזו חשובה כדי למנוע מתוקף ליצור מפתח גישה בחשבון שנפרץ.

‫✅ מניעת יצירה של מפתחות גישה כפולים לאותו ספק מפתחות גישה באמצעות excludeCredentials.

ספקי מפתחות גישה רבים מאפשרים רק מפתח גישה אחד לכל חשבון ולכל RP ID. הימנעו מיצירת כפילויות.

‫✅ שימוש ב-AAGUID כדי לזהות את ספק מפתח הגישה וכדי לתת שם לאישורים של המשתמש.

שיוך מפתח גישה לספק מפתחות הגישה הוא דרך אינטואיטיבית להצגת אישורים במקומות שבהם זה אפשרי.

‫✅ אות אם ניסיון לרשום מפתח גישה נכשל עם PublicKeyCredential.signalUnknownCredential().

מפתחות גישה לא רצויים עלולים לגרום לבלבול. ליידע את ספק מפתחות הגישה אם השרת לא הצליח לרשום מפתח גישה.

‫✅ שליחת התראה למשתמש אחרי יצירה ורישום של מפתח גישה לחשבון שלו.

חשוב לוודא שהמשתמש מודע ליצירת מפתח גישה, במיוחד אם מישהו אחר יוצר אותו.

אימות באמצעות מפתחות גישה

יכול להיות שיהיה לכם קשה לתת מענה גם למשתמשים עם סיסמאות וגם למשתמשים עם מפתחות גישה בלי ליצור חיכוך מיותר. פועלים לפי ההוראות במאמר כניסה באמצעות מפתח גישה דרך מילוי אוטומטי של טופס כדי ליצור באתר תכונה של מילוי אוטומטי של טופס באמצעות מפתח גישה. אלה הדברים שכדאי לבדוק בנוסף לתכונות הבסיסיות של אימות באמצעות מפתח גישה:

‫✅ המשתמשים יכולים להיכנס באמצעות מפתח גישה דרך מילוי אוטומטי של טפסים.

אם האתר שלכם עובר מסיסמאות למפתחות גישה, הדרך הכי טובה לתת מענה לשני סוגי המשתמשים היא להשתמש בתכונה למילוי אוטומטי של טפסים בדפדפן.

‫✅ אותת כשלא נמצאים פרטי כניסה תואמים למפתח גישה בקצה העורפי באמצעות PublicKeyCredential.signalUnknownCredential().

מפתחות גישה לא רצויים עלולים לגרום לבלבול. צריך ליידע את ספק מפתחות הגישה איזה מפתח גישה לא ניתן לשימוש כדי שהספק יוכל למחוק אותו.

‫✅ להציג למשתמשים בקשה ליצור מפתח גישה באופן ידני אם הם לא יצרו מפתח גישה אחרי כניסה לחשבון.

אם המשתמש עדיין לא יצר מפתח גישה, כדאי לעודד אותו ליצור מפתח גישה.

‫✅ יצירה אוטומטית של מפתח גישה (יצירה מותנית) אחרי שהמשתמש נכנס באמצעות סיסמה (וגורם אימות שני).

לזרז את המעבר של המשתמשים לשימוש במפתחות גישה.

‫✅ הצגת בקשה ליצירת מפתח גישה מקומי אם המשתמש נכנס באמצעות מפתח גישה במכשיר אחר.

יצירת מפתח גישה מקומי עוזרת למשתמש להיכנס לחשבון בלי לסרוק קוד QR בפעם הבאה.

‫✅ Signal the list of available passkeys and updated user details (username, display name) to the provider after sign-in

שמירה על סנכרון בין רשימת מפתחות הגישה ופרטי המשתמש בשרת ובספק מפתחות הגישה משפרת את חוויית המשתמש.

ניהול מפתחות גישה

הסבר טוב על מפתחות גישה עוזר למשתמשים להבין טוב יותר את התמונה הכוללת ולשלוט במפתחות הגישה. כדי ליצור תכונה לניהול מפתחות גישה באתר, פועלים לפי ההוראות שמתוארות במאמר איך לעזור למשתמשים לנהל מפתחות גישה בצורה יעילה. אלה הדברים שכדאי לבדוק:

‫✅ המשתמשים יכולים לנהל מפתחות גישה בדף לניהול מפתחות גישה.