Google I/O'ya katıldığınız için teşekkürler! İçerikleri isteğe bağlı olarak izleyin.

Güvenli ve sorunsuz geçiş anahtarları: Dağıtım yapılacaklar listesi

Eiji Kitamura

Yayınlanma tarihi: 5 Haziran 2025

Geçiş anahtarları, oturum açma deneyiminde devrim yaratmak için tasarlanmıştır. Şifrelere kıyasla daha basit, daha hızlı ve daha güvenli bir alternatif sunar. Bu yapılacaklar listesi, en iyi kullanıcı deneyimi (UX) sonuçlarını elde etmek için geçiş anahtarlarını uygulama sürecindeki temel özellikler konusunda size yol gösterecektir.

Bu yapılacaklar listesi nasıl kullanılır?

Bu kontrol listesi, kimlik doğrulama akışlarında geçiş anahtarlarını uygulayan geliştiriciler ve ürün ekipleri için hazırlanmıştır. Chrome uzantısını kullanarak:

Uygulamanızın, aşağıdaki makalelerde açıklanan modern geçiş anahtarı kullanıcı deneyimiyle ilgili en iyi uygulamalara uygun olduğunu doğrulayın.
Kullanılabilirlik, güvenlik ve uyumluluğu artıran zorunlu ve isteğe bağlı öğeleri belirleyin.
Geliştirme sırasında ve dağıtımdan önce uygulamanızı kontrol edin.
Kullanıcıların benimsemesini ve sistemler arası birlikte çalışabilirliği destekleyen en iyi uygulamalara uygun hareket edin.

Bu özellikler, son kullanıcılara sorunsuz ve güvenli bir deneyim sunmanıza yardımcı olur.

Geçiş anahtarı kaydı

Web sitenizde şifrelerden geçiş anahtarlarına sorunsuz bir şekilde geçmek için gelişmiş bir geçiş anahtarı kaydı özelliği kullanmanız gerekir. Web sitenizde geçiş anahtarı kaydı özelliği oluşturmak için Şifresiz girişler için geçiş anahtarı oluşturma başlıklı makalede açıklanan talimatları uygulayın. Temel geçiş anahtarı kayıt özelliklerine ek olarak kontrol etmeniz gerekenler şunlardır:

✅ Tanıtılan geçiş anahtarı oluşturma işlemi için "platform" değerini kimlik doğrulayıcı ek değeri olarak belirtin.navigator.credentials.create()

Geçiş anahtarı oluşturma işlemini reaktif olarak yapan kullanıcılar için optimize edilmiş ve sorunsuz bir geçiş anahtarı oluşturma akışı sunun.

✅ Kullanıcının geçiş anahtarı oluşturmasına izin vermeden önce, kullanabileceği en güçlü kimlik doğrulama yöntemiyle kullanıcıyı doğrulayın.

Bu, saldırganların ele geçirilmiş bir hesapta geçiş anahtarı oluşturmasını önlemek için önemlidir.

✅ excludeCredentials kullanarak aynı geçiş anahtarı sağlayıcısı için yinelenen geçiş anahtarları oluşturulmasını önleyin.

Birçok geçiş anahtarı sağlayıcı, hesap ve RP ID başına yalnızca bir geçiş anahtarı destekler. Yinelenen içerik oluşturmaktan kaçının.

✅ Geçiş anahtarı sağlayıcısını tanımlamak ve kullanıcı için kimlik bilgisini adlandırmak üzere AAGUID'yi kullanın.

Geçiş anahtarını, geçiş anahtarı sağlayıcısıyla ilişkilendirmek, kimlik bilgilerini mümkün olan her yerde sunmanın kolay bir yoludur.

✅ Geçiş anahtarı kaydetme girişimi PublicKeyCredential.signalUnknownCredential() ile başarısız olursa sinyal verin.

Kayıp geçiş anahtarları kafa karışıklığına neden olabilir. Sunucu, geçiş anahtarını kaydedemezse geçiş anahtarı sağlayıcıyı bilgilendirin.

✅ Hesabı için geçiş anahtarı oluşturup kaydettikten sonra kullanıcıya bildirim gönderin.

Kullanıcının, özellikle başka biri tarafından oluşturulan geçiş anahtarından haberdar olduğundan emin olun.

Geçiş anahtarıyla kimlik doğrulama

Hem şifre kullanıcılarını hem de geçiş anahtarı kullanıcılarını en az sorunla desteklemek zor olabilir. Web sitenizde geçiş anahtarı formunu otomatik doldurma özelliği oluşturmak için Formu otomatik doldurma özelliğiyle geçiş anahtarıyla oturum açma başlıklı makalede açıklanan talimatları uygulayın. Temel geçiş anahtarı kimlik doğrulama özelliklerine ek olarak kontrol etmeniz gerekenler:

✅ Kullanıcıların formu otomatik doldurma özelliğiyle geçiş anahtarıyla oturum açmasına izin verin.

Web sitenizde şifrelerden geçiş anahtarlarına geçiliyorsa her iki kullanıcıyı da desteklemenin en iyi yolu, tarayıcının form otomatik doldurma özelliğini kullanmaktır.

✅ PublicKeyCredential.signalUnknownCredential() ile arka uçta, geçiş anahtarının eşleşen kimlik bilgisi bulunamadığında sinyal verin.

Kayıp geçiş anahtarları kafa karışıklığına neden olabilir. Geçiş anahtarı sağlayıcıya, hangi geçiş anahtarının kullanılamadığını bildirin. Böylece sağlayıcı, geçiş anahtarını silebilir.

✅ Kullanıcı oturum açtıktan sonra geçiş anahtarı oluşturmadıysa kullanıcıları geçiş anahtarını manuel olarak oluşturmaya yönlendirin.

Kullanıcı henüz geçiş anahtarı oluşturmadıysa oluşturmasını isteyin.

✅ Kullanıcı şifreyle (ve ikinci bir faktörle) oturum açtıktan sonra otomatik olarak geçiş anahtarı oluşturma (koşullu oluşturma).

Kullanıcıların geçiş anahtarlarını benimsemesini hızlandırın.

✅ Kullanıcı, cihazlar arası geçiş anahtarıyla oturum açtıysa yerel geçiş anahtarı oluşturma istemi gösterilir.

Yerel geçiş anahtarı oluşturmak, kullanıcının bir sonraki oturum açma işleminde QR kodu taramadan oturum açmasına yardımcı olur.

✅ Oturum açtıktan sonra sağlayıcıya kullanılabilir geçiş anahtarlarının listesini ve güncellenen kullanıcı ayrıntılarını (kullanıcı adı, görünen ad) bildirin.

Geçiş anahtarı listesini ve kullanıcı ayrıntılarını sunucu ile geçiş anahtarı sağlayıcı arasında senkronize tutmak, kullanıcı deneyimini iyileştirir.

Geçiş anahtarı yönetimi

Kullanıcılara geçiş anahtarları hakkında iyi bir anlayış kazandırmak, geçiş anahtarlarıyla ilgili genel durumu daha iyi anlamalarına ve geçiş anahtarları üzerinde daha fazla kontrol sahibi olmalarına yardımcı olur. Web sitenizde geçiş anahtarı yönetim özelliği oluşturmak için Kullanıcıların geçiş anahtarlarını etkili bir şekilde yönetmesine yardımcı olma başlıklı makalede açıklanan talimatları uygulayın. Kontrol etmeniz gerekenler:

✅ Kullanıcıların geçiş anahtarı yönetimi sayfasında geçiş anahtarlarını yönetmesine izin verin.

Kullanıcıların geçiş anahtarlarını yönetebileceği merkezi bir yer oluşturun.

✅ Birden fazla geçiş anahtarı kaydedilmesi desteklenir.

Birden fazla geçiş anahtarı kaydetme özelliği, kullanıcıların daha zayıf bir kimlik doğrulama yöntemine geri dönmeden kilitlenmelerini önlemeye yardımcı olur.

✅ Kullanıcıların yönetim sayfasında yeni ve esnek geçiş anahtarı türleri eklemesine izin verin.

✅ Geçiş anahtarı adını gösterin.

Geçiş anahtarlarını AAGUID'ye göre adlandırın ve kullanıcının geçiş anahtarlarının somut bir görselini sağlayın.

✅ Geçiş anahtarının senkronize edilebilir veya senkronize edilemez olduğunu belirtin.

Geçiş anahtarı senkronize edilmediğinde kullanıcıyı bilgilendirin.

✅ Kullanıcıların sunucudan ortak anahtar kaldırmasına izin verin.

✅ İlişkili bir ortak anahtar sunucudan kaldırıldığında geçiş anahtarları listesini işaretleyin.

Geçiş anahtarı listesinin sunucu ile geçiş anahtarı sağlayıcı arasında senkronize tutulması kullanıcı deneyimini iyileştirir.

İyi uygulamaları gösteren bir geçiş anahtarı yönetimi sayfası örneği. — İyi uygulamaları gösteren bir geçiş anahtarı yönetim sayfası örneği.

Göz önünde bulundurulacak diğer noktalar

✅ Kullanıcı güncellediğinde güncellenen kullanıcı ayrıntılarını (kullanıcı adı, görünen ad) bildirin.

✅ Kullanıcı "Şifremi unuttum" seçeneğini tıkladığında yeni şifre yerine geçiş anahtarı oluşturma.

Güvenli ve sorunsuz geçiş anahtarları: Dağıtım yapılacaklar listesi Koleksiyonlar ile düzeninizi koruyun İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.