ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই শিপিং করছে

ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট API (FedCM) Chrome 108 (বর্তমানে বিটা চ্যানেলে) শিপিং করছে। যখন এটি 2022 সালের নভেম্বরের শেষে Chrome Stable-এ পাঠানো হবে, তখন FedCM API ফ্ল্যাগ বা অরিজিন ট্রায়াল টোকেনের প্রয়োজন ছাড়াই Chrome-এ কাজ করবে।

FedCM হল একটি গোপনীয়তা স্যান্ডবক্স API যা ওয়েবে ফেডারেটেড পরিচয় প্রবাহের জন্য একটি ব্যবহার-কেস-নির্দিষ্ট বিমূর্ততা প্রদান করে। FedCM ব্রাউজার-মধ্যস্থিত ডায়ালগগুলি প্রকাশ করে যা ব্যবহারকারীদের ওয়েবসাইটগুলিতে লগইন করার জন্য পরিচয় প্রদানকারীদের থেকে অ্যাকাউন্টগুলি বেছে নিতে দেয়৷

সঞ্চিত আপডেট পৃষ্ঠায় সর্বশেষ API পরিবর্তনগুলি পর্যালোচনা করুন৷

আমরা পরিচয় প্রদানকারী (আইডিপি), নির্ভরকারী পক্ষ (আরপি) এবং ব্রাউজার বিক্রেতাদের কাছ থেকে প্রাপ্ত প্রতিক্রিয়ার উপর ভিত্তি করে বেশ কয়েকটি নতুন বৈশিষ্ট্য চালু করার পরিকল্পনা করছি। যদিও আমরা আশা করি পরিচয় প্রদানকারীরা FedCM গ্রহণ করবে, অনুগ্রহ করে সচেতন থাকুন যে FedCM এখনও সক্রিয় বিকাশের অধীনে একটি API এবং Q4 2023 পর্যন্ত পশ্চাদগামী বেমানান পরিবর্তনগুলি প্রত্যাশিত।

পিছনের দিকে বেমানান পরিবর্তনগুলি স্থাপনের চ্যালেঞ্জগুলি কমাতে, আমাদের বর্তমানে পরিচয় প্রদানকারীদের জন্য দুটি সুপারিশ রয়েছে:

  • আমাদের নিউজলেটারে সাবস্ক্রাইব করুন যেখানে আমরা API বিকশিত হওয়ার সাথে সাথে আপডেটগুলি সরবরাহ করব।
  • আমরা জোরালোভাবে IdPsকে জাভাস্ক্রিপ্ট SDK-এর মাধ্যমে FedCM API বিতরণ করতে উৎসাহিত করি যখন API পরিপক্ক হচ্ছে, এবং RP-কে স্ব-হোস্টিং SDK থেকে নিরুৎসাহিত করতে। এটি নিশ্চিত করবে যে আইডিপিগুলি API বিকশিত হওয়ার সাথে সাথে তাদের সমস্ত নির্ভরশীল পক্ষকে পুনরায় কাজে লাগানোর জন্য জিজ্ঞাসা না করেই পরিবর্তন করতে পারে।

পটভূমি

গত এক দশকে, আইডেন্টিটি ফেডারেশন ওয়েবে প্রমাণীকরণের জন্য বার বাড়াতে একটি কেন্দ্রীয় ভূমিকা পালন করেছে, বিশ্বস্ততা, সহজ-ব্যবহার (উদাহরণস্বরূপ, পাসওয়ার্ডহীন একক সাইন-ইন) এবং নিরাপত্তা (উদাহরণস্বরূপ, উন্নত প্রতিরোধের ক্ষেত্রে) ফিশিং এবং শংসাপত্র স্টাফিং আক্রমণ) প্রতি-সাইট ব্যবহারকারীর নাম এবং পাসওয়ার্ডের তুলনায়।

দুর্ভাগ্যবশত, আইডেন্টিটি ফেডারেশন যে প্রক্রিয়াগুলির উপর নির্ভর করে (iframes, পুনঃনির্দেশ এবং কুকিজ) সক্রিয়ভাবে ওয়েব জুড়ে ব্যবহারকারীদের ট্র্যাক করার জন্য অপব্যবহার করা হচ্ছে। যেহেতু ব্যবহারকারী এজেন্ট পরিচয় ফেডারেশন এবং ট্র্যাকিংয়ের মধ্যে পার্থক্য করতে সক্ষম হয় না, তাই বিভিন্ন ধরনের অপব্যবহারের জন্য প্রশমন পরিচয় ফেডারেশনের স্থাপনাকে আরও কঠিন করে তোলে।

FedCM হল ওয়েবে পরিচিতি আরও ভাল করার জন্য একটি বহু-পদক্ষেপের যাত্রা, এবং এর প্রথম ধাপে আমরা ফেডারেটেড পরিচয়ের উপর তৃতীয় পক্ষের কুকি ফেজ-আউটের প্রভাব কমানোর দিকে মনোনিবেশ করছি ( পরবর্তী কী আছে তা নীচে দেখুন)।

একজন ব্যবহারকারী FedCM ব্যবহার করে একটি RP-তে স্বাক্ষর করছেন

ক্রোম 101 সাল থেকে FedCM নিয়ে পরীক্ষা করছে।

Google আইডেন্টিটি সার্ভিসেস টিম অরিজিন ট্রায়ালে অংশ নিয়েছিল এবং দেখিয়েছিল যে তৃতীয় পক্ষের কুকিজের উপর নির্ভর করে না এমন আরও ব্যক্তিগত এবং সুরক্ষিত সাইন-ইন প্রক্রিয়ায় স্যুইচ করা তাদের বিদ্যমান লাইব্রেরিতে ব্যাকওয়ার্ড-সামঞ্জস্যপূর্ণ আপডেটের মাধ্যমে স্বচ্ছভাবে ঘটতে পারে। তারা 20টি ভিন্ন নির্ভরকারী পক্ষ জুড়ে FedCM সক্ষম করেছে এবং 300K এরও বেশি ব্যবহারকারী মূল পরীক্ষার সময় তাদের সাথে সাইন ইন করেছে। তারা কিভাবে তৃতীয় পক্ষের কুকিজ থেকে তাদের নির্ভরতা দূর করার পরিকল্পনা করছে সে সম্পর্কে আরও জানুন।

আমরা Mozilla এর সাথে অনেক কমন গ্রাউন্ড খুঁজে পেয়ে উত্তেজিত, যারা সক্রিয়ভাবে ডিজাইন আলোচনায় নিযুক্ত এবং Firefox-এ FedCM প্রোটোটাইপ করা শুরু করেছে । অ্যাপল স্পেসিফিকেশনের জন্য তাদের সাধারণ সমর্থন নির্দেশ করেছে এবং FedID CG- তে আলোচনায় অংশ নিতে শুরু করেছে।

এরপর কি

আমরা FedCM-এ বেশ কিছু পরিবর্তন আনার জন্য কাজ করছি।

আইডিপি, আরপি এবং ব্রাউজার বিক্রেতাদের কাছ থেকে আমরা শুনেছি এমন কিছু বিষয় সহ আমরা জানি যেগুলি এখনও করা দরকার। আমরা বিশ্বাস করি আমরা জানি কিভাবে এই সমস্যাগুলো সমাধান করতে হয়:

  • ক্রস-অরিজিন iframe সমর্থন : IdPs একটি ক্রস-অরিজিন iframe থেকে FedCM কল করতে পারে।
  • ব্যক্তিগতকৃত বোতাম : আইডিপিগুলি একটি ক্রস-অরিজিন আইফ্রেমের মধ্যে থেকে সাইন-ইন বোতামে ফিরে আসা ব্যবহারকারীর পরিচয় প্রদর্শন করতে পারে।
  • মেট্রিক্স এন্ডপয়েন্ট : আইডিপি-কে কর্মক্ষমতা মেট্রিক্স প্রদান করে।

অতিরিক্তভাবে, এমন কিছু অমীমাংসিত সমস্যা রয়েছে যা আমরা সক্রিয়ভাবে অন্বেষণ করছি যার মধ্যে নির্দিষ্ট প্রস্তাবগুলি আমরা মূল্যায়ন করছি বা প্রোটোটাইপ করছি:

অবশেষে, Mozilla , Apple এবং TAG পর্যালোচকদের প্রতিক্রিয়ার উপর ভিত্তি করে এমন কিছু জিনিস আছে যা আমরা এখনও করতে হবে বলে মনে করি। আমরা এই খোলা প্রশ্নগুলির জন্য সর্বোত্তম সমাধান মূল্যায়ন করার জন্য কাজ করছি:

  • ব্যবহারকারীর বোধগম্যতা এবং মিলের অভিপ্রায় উন্নত করা : Mozilla যেমন উল্লেখ করেছে , আমরা বিভিন্ন UX ফর্মুলেশন এবং পৃষ্ঠের ক্ষেত্রগুলির পাশাপাশি ট্রিগারিং মানদণ্ডগুলি অন্বেষণ চালিয়ে যেতে চাই।
  • আইডেন্টিটি অ্যাট্রিবিউটস এবং সিলেক্টিভ ডিসক্লোজার : যেমন আমাদের TAG রিভিউয়াররা উল্লেখ করেছেন , আমরা বেছে বেছে কম বা বেশি আইডেন্টিটি অ্যাট্রিবিউট শেয়ার করার জন্য একটি মেকানিজম দিতে চাই (যেমন ইমেল, বয়স বন্ধনী, ফোন নম্বর ইত্যাদি)।
  • গোপনীয়তা বৈশিষ্ট্য উত্থাপন : Mozilla এখানে প্রস্তাবিত হিসাবে, আমরা আরও ভাল গোপনীয়তা গ্যারান্টি, যেমন IdP অন্ধত্ব এবং নির্দেশিত শনাক্তকারী প্রদান করার জন্য প্রক্রিয়াগুলি অন্বেষণ চালিয়ে যেতে চাই৷
  • WebAuthn-এর সাথে সম্পর্ক : Apple- এর পরামর্শ অনুযায়ী, আমরা পাসকিগুলির অগ্রগতি দেখতে এবং FedCM, পাসওয়ার্ড, WebAuthn এবং WebOTP-এর মধ্যে একটি সুসংগত এবং সমন্বিত অভিজ্ঞতা প্রদানের জন্য কাজ করতে অত্যন্ত উত্তেজিত৷
  • লগইন স্ট্যাটাস : অ্যাপল গোপনীয়তা CG-এর লগইন স্ট্যাটাস এপিআই- এর সাথে প্রস্তাবিত হিসাবে, আমরা অন্তর্দৃষ্টি শেয়ার করি যে ব্যবহারকারীর লগইন স্ট্যাটাস একটি দরকারী তথ্য যা ব্রাউজারগুলিকে জ্ঞাত সিদ্ধান্ত নিতে সাহায্য করতে পারে, এবং এর থেকে কী কী সুযোগ তৈরি হয় তা দেখতে আমরা উত্তেজিত।
  • এন্টারপ্রাইজ এবং শিক্ষা : যেমন FedID CG-তে স্পষ্ট, এখনও অনেক ব্যবহারের ক্ষেত্রে রয়েছে যেগুলি FedCM দ্বারা ভালভাবে পরিবেশিত হয় না যেগুলিতে আমরা কাজ করতে চাই, যেমন ফ্রন্ট-চ্যানেল লগআউট (একটি আইডিপি পাঠানোর ক্ষমতা লগআউট করার জন্য RPs কে একটি সংকেত) এবং SAML এর জন্য সমর্থন।
  • mDLs, VCs এবং অন্যদের সাথে সম্পর্ক : FedCM-এর মধ্যে এগুলো কিভাবে মানানসই হয় তা বোঝার জন্য কাজ চালিয়ে যান, উদাহরণস্বরূপ মোবাইল ডকুমেন্ট রিকোয়েস্ট API এর সাথে।

সম্পদ

  • FedCM ডেমো ব্যবহার করে দেখুন।
  • আপনি যদি একজন IdP হন FedCM বাস্তবায়নে আগ্রহী, বিকাশকারী নির্দেশিকা পড়ুন। আপনি যদি একজন RP হন, তাহলে আপনার IdP কে জিজ্ঞাসা করুন যে তারা FedCM বাস্তবায়নের পরিকল্পনা করছে কিনা।
  • FedCM API আপডেট পর্যালোচনা করুন।
  • আপনার যদি বৈশিষ্ট্যের অনুরোধ, প্রতিক্রিয়া বা সমস্যা থাকে তবে সেগুলি GitHub-এ FedCM পাবলিক রিপোজিটরির বিরুদ্ধে ফাইল করুন।