Tutoriais

Simplifique as jornadas do usuário com e-mail verificado pelo Gerenciador de credenciais

Leitura de 3 minutos

No cenário digital moderno, o primeiro contato de um usuário com um app geralmente é o mais importante. No entanto, por décadas, essa interação inicial foi dificultada pelo atrito dos métodos de verificação tradicionais. Hoje, temos o prazer de anunciar uma nova credencial de e-mail verificada emitida pelo Google, que os desenvolvedores agora podem recuperar diretamente da API Digital Credential do Credential Manager do Android.

O problema: atrito de autenticação na era moderna

A "era atual" da autenticação é definida por uma troca entre segurança e conveniência. Para garantir que um usuário seja o proprietário do endereço de e-mail fornecido, geralmente usamos senhas de uso único (OTPs) ou "links mágicos" enviados por e-mail ou SMS.

Embora eficazes, essas etapas tradicionais introduzem obstáculos significativos:

  • Troca de contexto: os usuários precisam sair do app, abrir a caixa de entrada ou o app de mensagens, encontrar o código e retornar, um processo em que muitos usuários em potencial simplesmente desistem.
  • Problemas de entrega: embora os e-mails sejam sem custo financeiro, eles podem ser atrasados ou desviados para pastas de spam.
  • Atrito de integração: cada segundo extra gasto no "loop de verificação" é um segundo em que um usuário pode perder o interesse, afetando diretamente as taxas de conversão.

A solução: e-mail verificado e simples

O Google agora emite uma credencial de e-mail criptograficamente verificada diretamente para dispositivos Android. Essa credencial de e-mail verificada é entregue pela API Credential Manager, que é a implementação do Android do padrão API Digital Credential da W3C

Para os usuários, isso elimina completamente a necessidade de verificar manualmente o e-mail por canais externos. Para os desenvolvedores, a API entrega com segurança essas declarações de usuário verificadas para qualquer cenário, seja na criação de um fluxo de criação de contas, um processo de recuperação ou uma autenticação de aumento de risco. 

Embora esse endereço de e-mail verificado específico seja originado com segurança da Conta do Google do usuário no dispositivo, a API Digital Credentials subjacente é independente do emissor. Isso promove um ecossistema aberto, permitindo que qualquer detentor de uma credencial digital com uma declaração de e-mail ofereça essa verificação ao seu app.

Experiência do usuário

A beleza dessa API está na simplicidade para o usuário final. Em vez de procurar códigos OTP, a experiência é integrada diretamente ao SO Android:

  1. Início:o processo começa quando um usuário se concentra em um campo de entrada de e-mail ou toca em um botão "Inscrever-se" ou "Recuperar conta". Você também pode iniciar o processo no carregamento de página.
  2. Transparência: uma página inferior nativa do Android aparece, detalhando claramente quais dados estão sendo solicitados (por exemplo, o endereço de e-mail verificado do usuário).
  3. Consentimento com um toque: o usuário simplesmente toca em "Concordar e continuar" para compartilhar os dados.
  4. Progresso imediato: depois que o consentimento é dado, o app recebe os dados instantaneamente. Para fluxos de inscrição ou recuperação de conta, você pode fazer a transição perfeita do usuário para a criação de chaves de acesso, garantindo:
    1. Os usuários não precisam inserir informações manualmente, em comparação com o registro tradicional de nome de usuário/senha.  
    2. O próximo login é ainda mais rápido e seguro.

Caso de uso 1. Inscreva-se

Acelere a integração buscando um e-mail verificado no momento em que o usuário tocar em "Inscrever-se". Recomendamos que você pareie a recuperação de e-mail verificado com a criação de chaves de acesso, que também faz parte da API Credential Manager:

UseCase1.png

Observação: também é possível buscar outros campos não verificados, como o nome próprio, o sobrenome, o nome, a foto do perfil e o domínio hospedado conectado ao e-mail verificado de um usuário.

Caso de uso 2. Recuperação de conta 

Elimine a frustração dos usuários que procuram códigos de recuperação nas pastas de spam, permitindo que eles recuperem a conta usando o e-mail verificado armazenado com segurança no dispositivo:

UseCase2.png

Caso de uso 3. Reautenticação para ações sensíveis 

Proteja ações sensíveis do usuário, como alterar configurações ou atualizar detalhes do perfil, exigindo uma etapa rápida de reautenticação. Em vez de uma OTP, você pode fornecer uma verificação de baixo atrito usando o e-mail verificado do dispositivo:

UseCase3.png

Considerações importantes

Ao projetar sua arquitetura de autenticação em torno da API Digital Credentials, tenha em mente os seguintes detalhes:

  • Suporte à conta: para a credencial de e-mail específica emitida pelo Google, apenas as Contas do Google de consumidor comuns são aceitas. As contas do Workspace e supervisionadas não são aceitas no momento. Lembre-se de que a API Credential Manager é independente do emissor, o que significa que outros provedores de identidade podem emitir credenciais com as próprias políticas de suporte à conta.
  • Outros dados do usuário:além do e-mail, você pode solicitar o nome próprio, o sobrenome, o nome completo e a foto do perfil do usuário. No entanto, observe que apenas o e-mail é verificado pelo Google.
  • Verifique automaticamente suas contas @gmail:a API fornece e-mails verificados para todas as Contas do Google de consumidor. Recomendamos verificar automaticamente os usuários do @gmail.com e encaminhar domínios personalizados para o fluxo de verificação atual, por exemplo, um fluxo de OTP. Isso garante que você mantenha o acesso de longo prazo para domínios externos não gerenciados diretamente pelo Google.
  • Complementar ao Fazer login com o Google: embora a nova credencial de e-mail verificada e a API Fazer login com o Google forneçam um e-mail verificado, a escolha depende da experiência do usuário pretendida:
    • Use o Fazer login com o Google quando os usuários quiserem criar uma sessão de login federada.
    • Use o e-mail verificado quando os usuários quiserem fazer login tradicionalmente com um nome de usuário/senha ou chave de acesso, mas quiserem verificar automaticamente o endereço de e-mail sem a tarefa manual de uma OTP.

Conclusão e próximas etapas

Ao integrar o novo e-mail verificado pela API Credential Manager, você pode reduzir drasticamente o atrito de integração e oferecer aos usuários uma jornada de autenticação mais simples e segura. Isso representa uma mudança para um futuro em que a "verificação" não é mais uma tarefa manual para o usuário, mas uma parte simples e integrada da experiência nativa para dispositivos móveis.

Quer saber como isso se encaixa no seu app? Para começar, atualize seu projeto para a API Credential Manager mais recente e confira nosso guia de integração. Recomendamos que você confira como essa verificação simplificada pode simplificar as jornadas críticas do usuário, desde a otimização da criação de contas até a melhoria dos fluxos de reautenticação. 

Escrito por:
Continuar lendo