Digital Credentials API की मदद से, ईमेल पते की पुष्टि करने की सुविधा लागू करना

इस गाइड में, OpenID for Verifiable Presentations (OpenID4VP) के अनुरोध के ज़रिए, Digital Credentials Verifier API का इस्तेमाल करके, पुष्टि किए गए ईमेल पते को वापस पाने का तरीका बताया गया है.

डिपेंडेंसी जोड़ें

अपने ऐप्लिकेशन की build.gradle फ़ाइल में, Credential Manager के लिए ये डिपेंडेंसी जोड़ें:

dependencies {
    implementation("androidx.credentials:credentials:1.7.0-alpha02")
    implementation("androidx.credentials:credentials-play-services-auth:1.7.0-alpha02")
}

dependencies {
    implementation "androidx.credentials:credentials:1.7.0-alpha02"
    implementation "androidx.credentials:credentials-play-services-auth:1.7.0-alpha02"
}

Credential Manager शुरू करना

CredentialManager ऑब्जेक्ट बनाने के लिए, अपने ऐप्लिकेशन या गतिविधि के कॉन्टेक्स्ट का इस्तेमाल करें.

// Use your app or activity context to instantiate a client instance of
// CredentialManager.
private val credentialManager = CredentialManager.create(context)

डिजिटल क्रेडेंशियल का अनुरोध बनाना

पुष्टि किए गए ईमेल पते का अनुरोध करने के लिए, GetCredentialRequest बनाएं. इसमें GetDigitalCredentialOption शामिल होना चाहिए. इस विकल्प के लिए, requestJson स्ट्रिंग की ज़रूरत होती है. इसे OpenID for Verifiable Presentations (OpenID4VP) के अनुरोध के तौर पर फ़ॉर्मैट किया जाता है.

OpenID4VP के अनुरोध के JSON का स्ट्रक्चर तय होना चाहिए. मौजूदा प्रोवाइडर, "digital": {"requests": [...]} रैपर के साथ JSON स्ट्रक्चर को सपोर्ट करते हैं.

    val nonce = generateSecureRandomNonce()

    // This request follows the OpenID4VP spec
    val openId4vpRequest = """
{
  "requests": [
    {
      "protocol": "openid4vp-v1-unsigned",
      "data": {
        "response_type": "vp_token",
        "response_mode": "dc_api",
        "nonce": "$nonce",
        "dcql_query": {
          "credentials": [
            {
              "id": "user_info_query",
              "format": "dc+sd-jwt",
               "meta": { 
                  "vct_values": ["UserInfoCredential"] 
               },
              "claims": [ 
                {"path": ["email"]}, 
                {"path": ["name"]},  
                {"path": ["given_name"]},
                {"path": ["family_name"]},
                {"path": ["picture"]},
                {"path": ["hd"]},
                {"path": ["email_verified"]}
              ]
            }
          ]
        }
      }
    }
  ]
}
"""

    val getDigitalCredentialOption = GetDigitalCredentialOption(requestJson = openId4vpRequest)
    val request = GetCredentialRequest(listOf(getDigitalCredentialOption))

अनुरोध में, यह अहम जानकारी शामिल होती है:

• DCQL क्वेरी: dcql_query में क्रेडेंशियल का टाइप और अनुरोध किए जा रहे दावे (email_verified) तय किए जाते हैं. पुष्टि का लेवल तय करने के लिए, अन्य दावों का अनुरोध किया जा सकता है. कुछ दावे यहां दिए गए हैं:

  • email_verified: जवाब में, यह एक बूलियन होता है. इससे पता चलता है कि ईमेल की पुष्टि की गई है या नहीं.
  • hd (होस्ट किया गया डोमेन): जवाब में, यह खाली होता है.

• nonce: हर अनुरोध के लिए, क्रिप्टोग्राफ़िक तरीके से सुरक्षित, कोई यूनीक रैंडम वैल्यू जनरेट की जाती है. यह सुरक्षा के लिए ज़रूरी है, क्योंकि इससे रीप्ले अटैक से बचा जा सकता है.

• UserInfoCredential: इस वैल्यू का मतलब है कि यह एक खास तरह का डिजिटल क्रेडेंशियल है, जिसमें उपयोगकर्ता के एट्रिब्यूट शामिल होते हैं. अनुरोध में इसे शामिल करना ज़रूरी है, ताकि ईमेल पते की पुष्टि करने के इस्तेमाल के उदाहरण को अलग से पहचाना जा सके.

इसके बाद, openId4vpRequest JSON को GetDigitalCredentialOption में रैप करें. इसके बाद, GetCredentialRequest बनाएं और getCredential() को कॉल करें.

उपयोगकर्ता को अनुरोध दिखाना

Credential Manager के बिल्ट-इन यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, उपयोगकर्ता को अनुरोध दिखाएं.

try {
    // Requesting Digital Credential from user...
    val result = credentialManager.getCredential(activity, request)

    when (val credential = result.credential) {
        is DigitalCredential -> {
            val responseJsonString = credential.credentialJson

            // Successfully received digital credential response.

            // Next, parse this response and send it to your server.
            // ...
        }

        else -> {
            // handle Unexpected State() - Up to the developer
        }
    }
} catch (e: Exception) {
    // handle exceptions - Up to the developer
}

क्लाइंट पर जवाब को पार्स करना

जवाब मिलने के बाद, क्लाइंट पर शुरुआती तौर पर पार्स किया जा सकता है. यह यूज़र इंटरफ़ेस (यूआई) को तुरंत अपडेट करने के लिए काम का है. जैसे, उपयोगकर्ता का नाम दिखाना.

यहां दिए गए कोड में, चुनिंदा जानकारी का खुलासा करने वाले रॉ JWT (एसडी-JWT) को एक्सट्रैक्ट किया गया है. साथ ही, इसके दावों को डिकोड करने के लिए, हेल्पर का इस्तेमाल किया गया है.

// 1. Parse the outer JSON wrapper to get the `vp_token`
val responseData = JSONObject(responseJsonString)
val vpToken = responseData.getJSONObject("vp_token")

// 2. Extract the raw SD-JWT string
val credentialId = vpToken.keys().next()
val rawSdJwt = vpToken.getJSONArray(credentialId).getString(0)

// 3. Use your parser to get the verified claims
// Server-side validation/parsing is highly recommended.

// Assumes a local parser like the one in our SdJwtParser.kt sample
val claims = SdJwtParser.parse(rawSdJwt)
Log.d("TAG", "Parsed Claims: ${claims.toString(2)}")

// 4. Create your VerifiedUserInfo object with REAL data
val userInfo = VerifiedUserInfo(
    email = claims.getString("email"),
    displayName = claims.optString("name", claims.getString("email"))
)

जवाब मैनेज करना

Credential Manager API, DigitalCredential का जवाब देगा.

यहां responseJsonString के रॉ फ़ॉर्मैट का एक उदाहरण दिया गया है. साथ ही, यह भी बताया गया है कि अंदर मौजूद एसडी-JWT को पार्स करने के बाद, दावे कैसे दिखते हैं. इसमें, पुष्टि किए गए ईमेल के साथ-साथ, आपको अतिरिक्त मेटाडेटा भी मिलता है:

/*
// Example of the raw JSON response from credential.credentialJson:
{
  "vp_token": {
    // This key matches the 'id' you set in your dcql_query
    "user_info_query": [
      // The SD-JWT string (Issuer JWT ~ Disclosures ~ Key Binding JWT)
      "eyJhbGciOiJ...~WyI...IiwgImVtYWlsIiwgInVzZXJAZXhhbXBsZS5jb20iXQ~...~eyJhbGciOiJ..."
    ]
  }
}

// Example of the parsed and verified claims from the SD-JWT on your server:
{
  "cnf": {
    "jwk": {..}
  },
  "exp": 1775688222,
  "iat": 1775083422,
  "iss": "https://verifiablecredentials-pa.googleapis.com",
  "vct": "UserInfoCredential",
  "email": "jane.doe.246745@gmail.com",
  "email_verified": true,
  "given_name": "Jane",
  "family_name": "Doe",
  "name": "Jane Doe",
  "picture": "http://example.com/janedoe/me.jpg",
  "hd": ""
}
 */

खाता बनाने के लिए, सर्वर-साइड से होने वाली पुष्टि

पुष्टि किया गया ईमेल, क्रिप्टोग्राफ़िक तरीके से पुष्टि किया जाता है. इसलिए, ईमेल ओटीपी की पुष्टि करने का चरण छोड़ा जा सकता है. इससे साइन-अप में लगने वाला समय काफ़ी कम हो जाता है और कन्वर्ज़न बढ़ने की संभावना होती है. इस प्रोसेस को आपके सर्वर पर मैनेज करना सबसे सही है. क्लाइंट, रॉ जवाब (vp_token वाला) और ओरिजनल nonce को नए सर्वर एंडपॉइंट पर भेजता है.

पुष्टि के लिए, आपके ऐप्लिकेशन को पूरा responseJsonString, क्रिप्टोग्राफ़िक पुष्टि के लिए अपने सर्वर पर भेजना होगा. इसके बाद ही, खाता बनाया जा सकेगा या उपयोगकर्ता को लॉग इन किया जा सकेगा.

डिजिटल क्रेडेंशियल, आपके सर्वर के लिए पुष्टि के दो अहम लेवल उपलब्ध कराता है:

• डेटा की असलियत की पुष्टि करना: जारी करने वाली कंपनी (iss) यूआरएल और SD-JWT के हस्ताक्षर की पुष्टि करने से यह साबित होता है कि इस डेटा को किसी भरोसेमंद अथॉरिटी ने जारी किया है.
• प्रज़ेंटर की पहचान की पुष्टि करना: cnf फ़ील्ड और Key Binding (kb) के हस्ताक्षर की पुष्टि करने से यह पक्का होता है कि क्रेडेंशियल को उसी डिवाइस से शेयर किया जा रहा है जिसके लिए इसे मूल रूप से जारी किया गया था. इससे, इसे इंटरसेप्ट होने या किसी दूसरे डिवाइस पर इस्तेमाल होने से रोका जा सकता है.

सर्वर पर की गई पुष्टि में, ये काम पूरे होने चाहिए:

• जारी करने वाले की पुष्टि करना: पक्का करें कि iss (जारी करने वाला) फ़ील्ड, https://verifiablecredentials-pa.googleapis.com से मेल खाता हो.
• हस्ताक्षर की पुष्टि करना: https://verifiablecredentials-pa.googleapis.com/.well-known/vc-public-jwks पर उपलब्ध सार्वजनिक पासकोड (JWK) का इस्तेमाल करके, एसडी-JWT के हस्ताक्षर की जांच करें.

पूरी सुरक्षा के लिए, पक्का करें कि रीप्ले अटैक से बचने के लिए, nonce की भी पुष्टि की गई हो.

इन चरणों को मिलाकर, आपका सर्वर डेटा की असलियत और प्रज़ेंटर की पहचान, दोनों की पुष्टि कर सकता है. इससे यह पक्का होता है कि नया खाता उपलब्ध कराने से पहले, क्रेडेंशियल को इंटरसेप्ट या स्पूफ़ नहीं किया गया था.

try {
    // Send the raw credential response and the original nonce to your server.
    // Your server must validate the response. createAccountWithVerifiedCredentials
    // is a custom implementation per each RP for server side verification and account creation.
    val serverResponse = createAccountWithVerifiedCredentials(responseJsonString, nonce)

    // Server returns the new account info (e.g., email, name)
    val claims = JSONObject(serverResponse.json)

    val userInfo = VerifiedUserInfo(
        email = claims.getString("email"),
        displayName = claims.optString("name", claims.getString("email"))
    )

    // handle response - Up to the developer
} catch (e: Exception) {
    // handle exceptions - Up to the developer
}

पासकी बनाना

खाता उपलब्ध कराने के बाद, पासकी बनाना ज़रूरी नहीं है. हालांकि, हमारा सुझाव है कि ऐसा किया जाए. खाते के लिए तुरंत पासकी बनाएं. इससे उपयोगकर्ता को साइन इन करने का सुरक्षित और पासवर्ड रहित तरीका मिलता है. यह फ़्लो, पासकी के सामान्य रजिस्ट्रेशन जैसा ही होता है.

वेबव्यू की सुविधा

WebView पर फ़्लो काम करे, इसके लिए डेवलपर को हैंडऑफ़ की सुविधा देने के लिए, JavaScript ब्रिज (JS Bridge) लागू करना चाहिए. इस ब्रिज की मदद से, WebView ऑब्जेक्ट, नेटिव ऐप्लिकेशन को सिग्नल दे सकता है. इसके बाद, यह Credential Manager API को कॉल कर सकता है.

इन्हें भी देखें

• पुष्टि किए गए ईमेल पते को वापस पाने की सुविधा की खास जानकारी
• Credential Manager