لتقديم تجربة قوية باستخدام مفاتيح المرور، ننصحك بأن ينفّذ تطبيقك ما يلي:
- إدارة مفاتيح المرور الخاصة بالمستخدم: أدرِج قسمًا مخصّصًا لإدارة مفاتيح المرور ضمن إعدادات تطبيقك للسماح للمستخدمين بإدارة مفاتيح المرور.
- دمج مقدّم خدمة بيانات الاعتماد: للتواصل مع مقدّمي خدمة بيانات الاعتماد، يمكن لخادم التطبيق تنفيذ نقاط نهاية مفتاح المرور للتسجيل والمصادقة والحذف.
إدارة مفاتيح المرور الخاصة بالمستخدم
للسماح للمستخدمين بإدارة مفاتيح المرور، عليك تضمين قسم مخصّص لإدارة مفاتيح المرور في تطبيقك يتيح للمستخدمين إنشاء مفاتيح المرور وعرضها وإعادة تسميتها وحذفها.
عرض مفاتيح المرور المتاحة
ضِمن إعدادات تطبيقك الخاصة بمفاتيح المرور، قدِّم للمستخدمين معلومات تتضمّن مقدّم بيانات الاعتماد الذي تم استخدامه لإنشاء بيانات الاعتماد وتاريخ الإنشاء وتاريخ آخر استخدام.
للحصول على معلومات مقدّم بيانات الاعتماد، استخدِم معرّف Authenticator Attestation
Globally Unique Identifier (AAGUID) المرتبط بمفتاح المرور المعنيّ.
يشكّل AAGUID جزءًا من PublicKeyCredential الذي يتم عرضه عند إنشاء مفتاح المرور. يتيح لك معرّف AAGUID تحديد موفّر بيانات الاعتماد الذي أنشأ مفتاح المرور. لمزيد من المعلومات، اطّلِع على مقالة تحديد مقدّم مفتاح المرور باستخدام AAGUID.
يمكن لتطبيقك عرض التفاصيل التالية حول مفتاح مرور:
- اسم مفتاح المرور: يعرض الاسم الذي تم إدخاله عند تسجيل مفتاح المرور. يستند الاسم المثالي إلى موفّر بيانات الاعتماد (باستخدام AAGUID). وفي حال تعذّر تحديد الموفّر، استخدِم معلومات طراز الجهاز من
android.os.Build. - شعار موفِّر الخدمة: لعرض شعار موفِّر بيانات الاعتماد تساعد هذه الإشارة المرئية المستخدمين في التعرّف بسرعة على مفتاح المرور الصحيح الذي يريدون إدارته.
- الطوابع الزمنية: قدِّم الطابع الزمني للإنشاء والطابع الزمني لآخر استخدام. تساعد هذه المعلومات المستخدمين في إدارة بيانات الاعتماد وتحديد مفاتيح المرور القديمة أو غير المستخدَمة.
- مؤشر حالة المزامنة: تتم تلقائيًا مزامنة مفاتيح المرور مع مقدّمي بيانات الاعتماد، ولكن قد تختلف إمكانات المزامنة. لتجنُّب إرباك المستخدمين، يجب الإشارة بوضوح إلى ما إذا كانت مفتاح المرور لا يتيح المزامنة.
- تفاصيل آخر تسجيل دخول (اختيارية): قدِّم تفاصيل مثل المتصفّح أو نظام التشغيل أو عنوان IP أو الموقع الجغرافي لآخر تسجيل دخول. هذه ميزة اختيارية قيّمة تتيح للمستخدمين تحديد الأنشطة المريبة المحتملة.
بالإضافة إلى هذه التفاصيل، يجب أن تتضمّن الشاشة أزرارًا تتيح للمستخدمين إدارة كل مفتاح مرور، أي حذفه أو إعادة تسميته.
إنشاء مفاتيح مرور متعددة
مع أنّه عليك أن تتيح للمستخدمين فرصًا لإنشاء مفاتيح مرور في جميع مراحل رحلة المستخدم، مثل بعد تسجيل الدخول مباشرةً، يجب أن يتيح قسم إعدادات مفاتيح المرور في تطبيقك للمستخدمين إنشاء مفاتيح مرور من موفّر بيانات الاعتماد الذي يختارونه.
للحدّ من خطر حظر الحسابات، اسمح للمستخدمين بتسجيل عدة مفاتيح مرور مع مقدّمي خدمات بيانات اعتماد مختلفين. في حال تعذّر الوصول إلى أحد موفّري بيانات الاعتماد، مثلاً إذا أوقفت المنصة إتاحة الخدمة أو إذا فقد المستخدم إمكانية الوصول، يمكنه استخدام مفتاح مرور آخر لتسجيل الدخول. تأكَّد من أنّ قاعدة البيانات تتيح تخزين بيانات اعتماد متعدّدة لكل مستخدم. ومع ذلك، يمكنك منع المستخدمين من إنشاء مفتاح مرور للحساب نفسه باستخدام مقدّم بيانات الاعتماد نفسه.
حذف مفاتيح المرور
يجب أن يتيح قسم إعدادات مفاتيح المرور في تطبيقك للمستخدمين حذف مفاتيح المرور.
دمج موفِّر بيانات الاعتماد
للحفاظ على اتساق مفاتيح المرور بين خادم التطبيق وموفّر بيانات الاعتماد، فعِّل إدارة مفاتيح المرور من المسار المحدّد مسبقًا /.well-known/passkey-endpoints على خادم التطبيق. ويتيح ذلك لمقدّمي بيانات الاعتماد استخدام نقاط النهاية هذه مباشرةً لإدارة مفاتيح المرور. لمزيد من المعلومات، يُرجى الاطّلاع على إضافة نقاط نهاية لمفاتيح المرور.
مراجع إضافية
- دليل تجربة المستخدم لمفاتيح المرور
- فيديو: كيفية تقليل الاعتماد على كلمات المرور في تطبيقات Android من خلال توفير ميزة مفتاح المرور
- درس تطبيقي: تعرَّف على كيفية تبسيط رحلات المصادقة باستخدام واجهة برمجة التطبيقات Credential Manager في تطبيق Android
- تطبيق نموذجي: CredentialManager