Credential Management API 機能検出の確認


WebAuthn は、公開鍵認証情報ベースの認証をウェブに導入することでセキュリティを強化します。まもなく、Chrome、Firefox、Edge でサポートされる予定です(更新された仕様)。これにより、新しい種類の Credential オブジェクトが追加されますが、使用している特定の認証情報の種類を機能検出せずに 認証情報管理 API を使用するウェブサイトが破損する可能性があります。


if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // use CM API


if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.

if (window.PasswordCredential) {
    // Get/Store PasswordCredential

if (window.FederatedCredential) {
    // Get/Store FederatedCredential

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()



認証情報マネージャー API とは

Credential Management API(CM API)を使用すると、ウェブサイトはユーザー エージェントの認証情報ストアにプログラムでアクセスして、呼び出し元のオリジンのユーザー認証情報を保存または取得できます。

基本的な API は次のとおりです。

  • navigator.credentials.get()
  • navigator.credentials.create()
  • navigator.credentials.preventSilentAccess()

元の CM API 仕様では、次の 2 種類の認証情報が定義されています。

  • PasswordCredential
  • FederatedCredential

PasswordCredential は、ユーザー ID とパスワードを含む認証情報です。FederatedCredential は、ユーザー ID と ID プロバイダを表す文字列を含む認証情報です。

これらの 2 つの認証情報を使用すると、ウェブサイトは次のことができます。

  • ユーザーがサイトにアクセスした直後に、以前に保存したパスワードベースまたは認証連携の認証情報でログインできるようにする(自動ログイン)
  • ユーザーがログインに使用したパスワードベースまたはフェデレーション認証情報を保存します。
  • ユーザーのログイン認証情報を最新の状態に保つ(パスワード変更後など)

WebAuthn とは

WebAuthn(Web Authentication)は、CM API に公開鍵認証情報を追加します。たとえば、ウェブサイトは FIDO 2.0 準拠の認証デバイスを使用して、標準化された方法で 2 要素認証を実装できます。

技術的なレベルでは、WebAuthn は CM API を PublicKeyCredential インターフェースで拡張します。


これまで、デベロッパーには次のコードを使用して CM API を特徴検出するよう案内してきました。

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
  // Use CM API

But as you can see from the descriptions above, the `navigator.credentials` is
now expanded to support public-key credentials in addition to password
credentials and federated credentials.

The problem is that user agents don't necessarily support all kinds of
credentials. If you continue feature detect using `navigator.credentials`, your
website may break when you are using a certain credential type not supported by
the browser.

**Supported credential types by browsers**
<table class="properties with-heading-tint"><tbody><tr>
<th>PasswordCredential / FederatedCredential</th>
</td><td>In development
</td><td>Aiming to ship on 60
</td><td>Implemented with <a href="">older API</a>. New API (navigator.credentials) coming soon.

## The solution
You can avoid this by modifying feature detection code as follows to explicitly
test for the credential type that you intend to use.

if (window.PasswordCredential || window.FederatedCredential) {
    // Call navigator.credentials.get() to retrieve stored
    // PasswordCredentials or FederatedCredentials.

if (window.PasswordCredential) {
    // Get/Store PasswordCredential

if (window.FederatedCredential) {
    // Get/Store FederatedCredential

if (navigator.credentials && navigator.credentials.preventSilentAccess) {
    // Call navigator.credentials.preventSilentAccess()


なお、WebAuthn で追加された PublicKeyCredential を検出する方法は次のとおりです。

if (window.PublicKeyCredential) {
    // use CM API with PublicKeyCredential added in the WebAuthn spec


WebAuthn の実装は Firefox で最初に利用可能になり、2018 年 5 月上旬に安定版になる予定です


ご不明な点がございましたら、@agektmr または までお問い合わせください。