Mantén la coherencia entre tus credenciales y los proveedores de credenciales

Cuando un usuario crea una llave de acceso, el servidor de la entidad emisora guarda ciertos detalles, mientras que el proveedor de credenciales, como el Administrador de contraseñas de Google, guarda otros. Más precisamente, sucederá lo siguiente:

  • El servidor de la entidad emisora guarda la credencial de clave pública.
  • El proveedor de credenciales guarda el nombre de usuario, el nombre visible, la clave privada y otros metadatos asociados. Estos metadatos ayudan a los usuarios a identificar y seleccionar la llave de acceso requerida durante el acceso.

Las posibles incoherencias entre los datos guardados en el servidor de la entidad emisora y el proveedor de credenciales pueden generar malas experiencias del usuario. Pueden surgir problemas en las siguientes situaciones:

  • Se borra una credencial en el servidor de la entidad emisora, pero no en el proveedor de credenciales, lo que hace que el proveedor de credenciales muestre la credencial borrada al usuario.
  • Se actualiza un nombre de usuario o un nombre visible en el servidor de la entidad emisora, pero no en el proveedor de credenciales, lo que hace que el proveedor de credenciales muestre los detalles desactualizados.

La API de Signal de Credential Manager permite que las entidades emisoras se comuniquen con los proveedores de credenciales para borrar credenciales y actualizar los metadatos del usuario, como el nombre de usuario y el nombre visible. Existen tres tipos de solicitudes compatibles para diferentes situaciones:

  • SignalUnknownCredentialRequest

    • Indica que una credencial específica ya no es válida y debe ocultarse o quitarse del proveedor de credenciales.

  • SignalAllAcceptedCredentialIdsRequest

    • Proporciona una lista de IDs de credenciales aceptados al proveedor de credenciales.

  • SignalCurrentUserDetailsRequest

    • Actualiza los detalles de los metadatos del usuario.

Compatibilidad de versiones

La API de Signal está disponible en dispositivos que ejecutan Android 15 o versiones posteriores, y está disponible a partir de la versión 1.6.0-beta03 de la androidx.credentials biblioteca.

Implementación

Para usar la API de Signal, sigue estos pasos:

  1. Agrega la dependencia de Credential Manager a tu proyecto.

    Kotlin

    dependencies {
    implementation("androidx.credentials:credentials:1.7.0-alpha01")
}

    Groovy

    dependencies {
    implementation "androidx.credentials:credentials:1.7.0-alpha01"
}

  2. Llama a la API de Signal

    Para enviar una solicitud de señal al proveedor de credenciales, usa una solicitud de señal compatible. Cada uno de los tipos de solicitudes de señal requiere una solicitud JSON, como se muestra en los siguientes ejemplos:

    • Credencial desconocida (SignalUnknownCredentialRequest)

      Usa SignalUnknownCredentialRequest para indicar que se rechaza una credencial y se considera desconocida. Cuando el proveedor de credenciales recibe esta señal, oculta o borra la credencial.

      Uso

      Usa esta señal cuando la entidad emisora no pueda verificar una aserción de llave de acceso. Esto implica que la llave de acceso no es válida y que el proveedor de credenciales debe ocultarla o quitarla.

      Los parámetros JSON obligatorios para esta solicitud son rpId y credentialId. Para obtener más información sobre la estructura JSON, consulta las opciones de signalUnknownCredential.

      credentialManager.signalCredentialState(
    SignalUnknownCredentialRequest(
        requestJson = JSONObject().apply {
            put("rpId", rpId /* [String] RP ID of the relying party */)
            put("credentialId", credentialId /* [String] Credential ID of the credential to be hidden or deleted */)
        }.toString()
    )
)

    • Todas las credenciales aceptadas (SignalAllAcceptedCredentialIdsRequest)

      Usa SignalAllAcceptedCredentialIdsRequest para notificar a los proveedores de credenciales el conjunto de todas las credenciales aceptadas. Una vez que el proveedor de credenciales recibe la señal, oculta o borra las credenciales que no están incluidas en esta lista, o bien muestra las credenciales ocultas anteriormente que ahora están incluidas en la lista.

      Uso

      Usa esta señal cuando la entidad emisora no pueda verificar una llave de acceso. Esta falla significa que la llave de acceso no es válida y que el proveedor de credenciales debe ocultarla o quitarla. También puedes usar esta señal cuando necesites transmitir el conjunto de IDs de credenciales conocidos a los proveedores de credenciales.

      Los parámetros JSON obligatorios para esta solicitud son rpId, userId y allAcceptedCredentialIds. Para obtener más información sobre la estructura JSON, consulta las opciones de signalAllAcceptedCredential.

      credentialManager.signalCredentialState(
    SignalAllAcceptedCredentialIdsRequest(
        requestJson = JSONObject().apply {
            put("rpId", rpId /* [String] RP ID of the relying party */)
            put("userId", userId /* [String] User ID of the current user */)
            put(
                "allAcceptedCredentialIds",
                JSONArray(credentialIdsList /* [List<String>] List of accepted Credential IDs */)
            )
        }.toString()
    )
)

    • Detalles del usuario actual (SignalCurrentUserDetailsRequest)

      Usa SignalCurrentUserDetailsRequest para notificar a los proveedores de credenciales que se actualizaron los metadatos, como el nombre de usuario y el nombre visible de un usuario determinado, y que deberían aparecer en el proveedor de credenciales.

      Uso

      Usa esta señal cuando el usuario o la entidad emisora actualicen los metadatos de la llave de acceso asociados con la cuenta de usuario.

      Los parámetros JSON obligatorios para esta solicitud son rpId, userId, name y displayName. Para obtener más información sobre la estructura JSON, consulta las opciones de signalCurrentUserDetails.

      credentialManager.signalCredentialState(
    SignalCurrentUserDetailsRequest(
        requestJson = JSONObject().apply {
            put("rpId", rpId /* [String] RP ID of the relying party */)
            put("userId", userId /* [String] User ID of the current user */)
            put("name", name /* [String] New Name to be updated for the current user */)
            put("displayName", displayName /* [String] New display name to be updated for the current user */)
        }.toString()
    )
)

Prueba la implementación

Para probar tu implementación de la API de Signal, completa los siguientes pasos:

  1. Instala la muestra del proveedor de credenciales llamada MyVault.

  2. Habilita MyVault como proveedor de credenciales en Configuración > Contraseñas, llaves de acceso y cuentas > Servicio preferido.

    El menú Servicio preferido en la configuración de Android, que muestra MyVault habilitado como proveedor de credenciales.

  3. Habilita todas las notificaciones de MyVault en Configuración > Apps > MyVault > Notificaciones.

    El menú Notificaciones de la app de MyVault, en el que se muestran todas las notificaciones habilitadas.

  4. Verifica que Mostrar en pantalla esté activado para las notificaciones en Configuración > Apps > MyVault > Notificaciones > Categorías > Canal de notificaciones de la API de Signal.

    Configuración del canal de notificaciones de la API de Signal para MyVault, en la que se muestra la opción &quot;Aparecer en la pantalla&quot; habilitada.

  5. En tu app, activa los flujos que envían las solicitudes de señal al proveedor de credenciales. Deberías ver notificaciones de MyVault en la pantalla. Esto verifica que el proveedor de credenciales recibió las solicitudes.