Pemeriksaan Deteksi Fitur Credential Management API

Eiji Kitamura

Ringkasan

WebAuthn membantu meningkatkan keamanan dengan membawa autentikasi berbasis kredensial kunci publik ke Web, dan akan segera didukung di Chrome, Firefox, dan Edge (dengan spesifikasi yang diperbarui). Metode ini menambahkan jenis objek Credential baru, yang, tetapi, dapat merusak situs yang menggunakan Credential Management API tanpa mendeteksi fitur jenis kredensial tertentu yang mereka gunakan.

Jika saat ini Anda melakukannya untuk deteksi fitur

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // use CM API
}

Sebagai gantinya, lakukan hal berikut

if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.
}

if (window.PasswordCredential) {
    // Get/Store PasswordCredential
}

if (window.FederatedCredential) {
    // Get/Store FederatedCredential
}

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()
}

Lihat perubahan yang dilakukan pada kode contoh sebagai contoh.

Baca terus untuk mempelajari lebih lanjut.

Apa itu Credential Management API

Credential Management API (CM API) memberi situs akses terprogram ke penyimpanan kredensial agen pengguna untuk menyimpan/mengambil kredensial pengguna untuk origin panggilan.

API dasar adalah:

  • navigator.credentials.get()
  • navigator.credentials.store()
  • navigator.credentials.create()
  • navigator.credentials.preventSilentAccess()

Spesifikasi CM API asli menentukan 2 jenis kredensial:

  • PasswordCredential
  • FederatedCredential

PasswordCredential adalah kredensial yang berisi ID dan sandi pengguna. FederatedCredential adalah kredensial yang berisi ID pengguna dan string yang mewakili penyedia identitas.

Dengan 2 kredensial ini, situs dapat:

  • Izinkan pengguna login dengan kredensial berbasis sandi atau kredensial gabungan yang disimpan sebelumnya begitu mereka membuka halaman (login otomatis),
  • Menyimpan kredensial gabungan atau berbasis sandi yang digunakan pengguna untuk login,
  • Pastikan kredensial login pengguna adalah yang terbaru (misalnya, setelah sandi diubah)

Apa yang dimaksud dengan WebAuthn

WebAuthn (Autentikasi Web) menambahkan kredensial kunci publik ke CM API. Misalnya, autentikasi ini memberi situs cara terstandardisasi untuk menerapkan autentikasi faktor kedua menggunakan perangkat pengautentikasi yang mematuhi FIDO 2.0.

Pada tingkat teknis, WebAuthn memperluas CM API dengan antarmuka PublicKeyCredential.

Apa permasalahannya?

Sebelumnya kami telah memandu developer untuk menampilkan fitur deteksi CM API dengan kode berikut:

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
  // Use CM API
}

But as you can see from the descriptions above, the `navigator.credentials` is
now expanded to support public-key credentials in addition to password
credentials and federated credentials.

The problem is that user agents don't necessarily support all kinds of
credentials. If you continue feature detect using `navigator.credentials`, your
website may break when you are using a certain credential type not supported by
the browser.

**Supported credential types by browsers**
<table class="properties with-heading-tint"><tbody><tr>
<th></th>
<th>PasswordCredential / FederatedCredential</th>
<th>PublicKeyCredential</th>
</tr><tr><th>Chrome
</th><td>Available
</td><td>In development
</td></tr><tr><th>Firefox
</th><td>N/A
</td><td>Aiming to ship on 60
</td></tr><tr><th>Edge
</th><td>N/A
</td><td>Implemented with <a href="https://blogs.windows.com/msedgedev/2016/04/12/a-world-without-passwords-windows-hello-in-microsoft-edge/">older API</a>. New API (navigator.credentials) coming soon.
</td></tr></tbody></table>


## The solution
You can avoid this by modifying feature detection code as follows to explicitly
test for the credential type that you intend to use.

```js
if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.
}

if (window.PasswordCredential) {
    // Get/Store PasswordCredential
}

if (window.FederatedCredential) {
    // Get/Store FederatedCredential
}

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()
}

Lihat perubahan aktual yang dilakukan pada kode contoh sebagai contoh.

Sebagai referensi, berikut cara mendeteksi PublicKeyCredential yang ditambahkan di WebAuthn:

if (window.PublicKeyCredential) {
    // use CM API with PublicKeyCredential added in the WebAuthn spec
}

Linimasa

Implementasi WebAuthn yang paling awal tersedia adalah Firefox dan direncanakan akan stabil sekitar awal Mei 2018.

Terakhir

Jika ada pertanyaan, kirimkan ke @agektmr atau agektmr@chromium.org.