No Chrome 123, é possível usar as dicas de domínio com a API Federated Credential Management (FedCM). Com a API Domain Hint, os desenvolvedores podem fornecer uma melhor experiência do usuário, mostrando apenas as contas de login federadas do domínio que eles aceitam.
API Domain Hint
O FedCM pode ser usado para facilitar o login de um usuário para uma parte confiável (RP, referindo-se a um site) usando informações da conta fornecidas por um provedor de identidade (IdP). No entanto, há casos em que o RP já sabe que apenas contas associadas a um determinado domínio podem fazer login no site. Isso é particularmente comum em cenários corporativos em que o site que está sendo acessado é restrito a um domínio corporativo. Para oferecer uma melhor experiência do usuário, a API FedCM permite que o RP mostre apenas as contas que podem ser usadas para fazer login no RP. Isso evita cenários em que um usuário tenta fazer login no RP usando uma conta fora do domínio corporativo, apenas para receber uma mensagem de erro mais tarde (ou silêncio, quando o login não funciona) porque o tipo correto de conta não foi usado.
Com a API Domain Hint, os RPs podem especificar uma propriedade domainHint em uma chamada da API FedCM
para mostrar apenas contas correspondentes ao usuário. O IdP pode fornecer uma
propriedade domain_hints como parte de uma resposta do endpoint da
lista de contas para
indicar a quais domínios uma conta está associada. Dessa forma, o navegador pode mostrar as contas correspondentes sem divulgar a dica de domínio solicitada ao IdP.
Um exemplo de resposta JSON do endpoint da lista de contas é este:
{
"accounts": [{
"id": "1234",
"given_name": "John",
"name": "John Doe",
"email": "john_doe@idp.example",
"picture": "https://idp.example/profile/123",
"approved_clients": ["123", "456", "789"],
}, {
"id": "5678",
"given_name": "Johnny",
"name": "Johnny",
"email": "johnny@idp.example",
"picture": "https://idp.example/profile/456"
"approved_clients": ["abc", "def", "ghi"],
"domain_hints": ["corp.example"]
}]
}
A parte restrita pode chamar navigator.credentials.get() com uma propriedade domainHint para filtrar as contas. Por exemplo, digamos que um usuário acesse corp-partner.example e
faça login com uma conta de corp.example. O site invocaria a API da seguinte maneira:
return await navigator.credentials.get({
identity: {
providers: [{
configURL: "https://idp.example/manifest.json",
clientId: "abc",
nonce: nonce,
domainHint : "corp.example"
}]
}
});
O valor domainHint não é enviado ao endpoint da lista de contas para filtragem do lado do servidor, já que esse pode ser um vetor de impressão digital para o IdP.
Em vez disso, o Chrome executa uma solicitação do FedCM como de costume e filtra as contas
que não correspondem ao valor domainHint especificado pela
chamada navigator.credentials.get(). Em seguida, o Chrome mostra a caixa de diálogo do FedCM ao
usuário com a nova lista de contas. Essa abordagem é semelhante à API Login Hint, mas essas duas APIs respondem a perguntas diferentes. A API Login Hint tem como objetivo responder "qual é o
identificador do usuário que eu quero?", enquanto a Domain Hint tem como objetivo responder "a qual
corporação ou servidor essa conta precisa pertencer?".
Quando domainHint: "any" é usado, o Chrome filtra as contas que não têm
domínios (ou seja, domain_hints não é transmitido ou está vazia). Por exemplo,
isso permite casos de uso em que a RP só permite contas gerenciadas no
processo de inscrição.
Quando nenhuma conta corresponde a domainHint, a caixa de diálogo do FedCM mostra uma solicitação de login,
que permite que o usuário faça login em uma conta do IdP correspondente à dica solicitada pelo
RP. Quando o usuário toca no comando, uma janela pop-up é aberta com o
URL de login especificado no arquivo
de configuração. Em seguida, o link é
anexado à dica de login e aos parâmetros de consulta da dica de domínio.
domainHint.