Update FedCM: Uji coba origin Button Mode API, CORS dan SameSite

Eiji Kitamura

Mulai Chrome 125, Button Mode API memulai uji coba origin di desktop. Dengan Button Mode API, penyedia identitas dapat menggunakan FedCM API meskipun pengguna mereka tidak memiliki sesi IdP aktif saat panggilan API. Kemudian, pengguna dapat login ke situs dengan akun gabungan mereka tanpa dialihkan ke situs IdP. UI FedCM dalam mode tombol lebih terlihat dibandingkan dengan UI dari alur widget yang ada karena UI ini dibatasi oleh gestur pengguna dan lebih mencerminkan niat pengguna untuk login.

Button Mode API

Antarmuka pengguna FedCM telah tersedia sebagai widget yang ditampilkan di sudut kanan atas di desktop, atau sebagai sheet bawah di perangkat seluler, segera setelah API dipanggil, yang dapat terjadi saat pengguna membuka pihak tepercaya (RP). Hal ini disebut mode widget. Untuk menampilkan widget, pengguna harus login ke IdP sebelum membuka RP. FedCM sendiri tidak memiliki cara yang andal untuk memungkinkan pengguna login ke IdP sebelum mereka dapat mengizinkan pengguna login ke RP menggunakan akun yang tersedia di IdP. FedCM akan menambahkan cara untuk melakukannya.

Dengan mode widget, dialog ditampilkan di sudut kanan atas di Chrome desktop tanpa aktivasi pengguna.
Dengan mode widget, dialog ditampilkan di sudut kanan atas di Chrome desktop tanpa aktivasi pengguna.

Button Mode API baru menambahkan mode UI baru yang disebut mode tombol. Tidak seperti mode widget, mode tombol tidak dimaksudkan untuk dipanggil segera setelah pengguna membuka RP. Sebagai gantinya, metode ini dimaksudkan untuk dipanggil saat pengguna memulai alur login, seperti menekan tombol "Login dengan IdP".

Segera setelah tombol ditekan, FedCM akan memeriksa apakah pengguna login ke IdP melalui pengambilan data ke endpoint akun atau status login yang disimpan ke browser. Jika pengguna belum login, FedCM akan meminta pengguna untuk login ke IdP menggunakan login_url yang disediakan oleh IdP melalui jendela pop-up. Jika browser mengetahui bahwa pengguna sudah login ke IdP atau segera setelah pengguna login ke IdP dengan jendela pop-up, FedCM akan membuka dialog modal bagi pengguna untuk memilih akun IdP yang akan digunakan untuk login. Dengan memilih akun, pengguna dapat melanjutkan untuk login ke RP menggunakan akun IdP.

Di UI mode tombol, dialog login yang ditampilkan lebih besar dibandingkan dengan mode widget, begitu juga dengan ikon branding untuk mempertahankan konsistensi visual. Meskipun ukuran ikon minimum untuk mode widget adalah 25x25 piksel, ukuran minimum untuk ikon dalam mode tombol adalah 40x40 piksel. File terkenal IdP memungkinkan penentuan beberapa URL ikon sebagai berikut:

{
  // ... Other settings (like endpoints) here
  "branding": {
    "icons": [
      {
        "url": "https://size-25px-image",
        "size": 25,
      },
      {
        "url": "https://size-40px-image",
        "size": 40
      }
    ]
  }
}
Dengan mode tombol, dialog modal ditampilkan di tengah atas pada Chrome desktop.
Dengan mode tombol, dialog modal ditampilkan di tengah atas pada Chrome desktop, dengan ikon yang lebih besar.

Cobalah sendiri menggunakan Chrome 125 di https://fedcm-demo-rp.dev/active-mode.

Pengguna login ke RP menggunakan Button Mode API.

Untuk menggunakan Button Mode API:

  • Aktifkan fitur eksperimental FedCmButtonMode di chrome://flags.
  • Pastikan untuk memanggil API di balik pengaktifan pengguna sementara seperti klik tombol.
  • Panggil API dengan parameter mode seperti berikut:
  return await navigator.credentials.get({
    identity: {
      providers: [{
        configURL: "https://idp.example/config.json",
        clientId: "123",
        nonce:"456",
      }],
      mode: "button"
    }
  });

Browser akan mengirimkan parameter baru ke endpoint pernyataan ID yang merepresentasikan jenis permintaan dengan menyertakan mode=button:

POST /fedcm_assertion_endpoint HTTP/1.1
Host: idp.example
Origin: https://rp.example/
Content-Type: application/x-www-form-urlencoded
Cookie: 0x23223
Sec-Fetch-Dest: webidentity
account_id=123&client_id=client1234&nonce=Ct60bD&disclosure_text_shown=true&is_auto_selected=false&mode=button

Deteksi fitur

Untuk menentukan apakah browser memenuhi syarat untuk menggunakan mode tombol, Anda dapat memeriksanya dengan kode berikut:

let supportsFedCmMode = false;
try {
  navigator.credentials.get({
    identity: Object.defineProperty(
      {}, 'mode', {
        get: function () { supportsFedCmMode = true; }
      }
    )
  });
} catch(e) {}

if (supportsFedCmMode) {
  // The button mode is supported.
}

Menggunakan opsi akun lain

RP dapat mengizinkan pengguna "menggunakan akun lain" di pemilih akun, misalnya, saat IdP mendukung beberapa akun atau mengganti akun yang ada.

Untuk mengaktifkan opsi penggunaan akun lain:

  • Aktifkan fitur eksperimental FedCmUseOtherAccount di chrome://flags atau daftarkan uji coba origin Button Mode API.
  • IdP menentukan hal berikut dalam file konfigurasi IdP:
{
  "accounts_endpoint" : ...,
  "modes: {
    "button": {
      "supports_use_other_account": true,
    }
  }
}

Berpartisipasi dalam uji coba origin

Anda dapat mencoba Button Mode API secara lokal dengan mengaktifkan tanda Chrome chrome://flags#fedcm-button-mode di Chrome 125 atau yang lebih baru.

IdP juga dapat mengaktifkan Mode Tombol dengan mendaftarkan uji coba origin:

Uji coba origin memungkinkan Anda mencoba fitur baru dan memberikan masukan tentang kegunaan, kepraktisan, dan efektivitasnya kepada komunitas standar web. Untuk mengetahui informasi selengkapnya, lihat Panduan Uji Coba Origin untuk Developer Web.

Uji coba origin Button Mode API tersedia dari Chrome 125 hingga Chrome 130.

  1. Buka halaman pendaftaran uji coba origin.
  2. Klik tombol Daftar dan isi formulir untuk meminta token.
  3. Masukkan asal IdP sebagai Asal Web.
  4. Periksa Pencocokan pihak ketiga untuk menyuntikkan token dengan JavaScript di origin lain.
  5. Klik Kirim.
  6. Sematkan token yang dikeluarkan di situs pihak ketiga.

Untuk menyematkan token di situs pihak ketiga, tambahkan kode berikut ke library JavaScript atau SDK IdP yang ditayangkan dari origin IdP.

const tokenElement = document.createElement('meta');
tokenElement.httpEquiv = 'origin-trial';
tokenElement.content = 'TOKEN_GOES_HERE';
document.head.appendChild(tokenElement);

Ganti TOKEN_GOES_HERE dengan token Anda sendiri.

CORS dan SameSite=None akan diperlukan di Chrome 125

CORS

Chrome akan menerapkan CORS di endpoint assertion ID mulai Chrome 125.

CORS (Cross-Origin-Resource-Sharing) adalah sistem, yang terdiri dari transmisi header HTTP, yang menentukan apakah browser memblokir kode JavaScript frontend agar tidak mengakses respons untuk permintaan lintas origin. Endpoint pernyataan ID di server IdP harus merespons permintaan dengan header tambahan. Berikut adalah contoh header respons terhadap permintaan dari https://fedcm-rp-demo.glitch.me:

Access-Control-Allow-Origin: https://fedcm-rp-demo.glitch.me
Access-Control-Allow-Credentials: true

SameSite=None

Parameter SameSite cookie menyatakan apakah cookie dibatasi untuk konteks pihak pertama atau situs yang sama. Dengan menentukannya menjadi None, cookie dapat dikirim ke domain pihak ketiga.

Di FedCM, Chrome mengirimkan cookie ke endpoint akun, endpoint pernyataan ID, dan endpoint pemutusan hubungan. Mulai Chrome 125, Chrome akan mengirim permintaan yang memiliki kredensial tersebut hanya dengan cookie yang ditandai secara eksplisit sebagai SameSite=None.