Fazer chamadas do Gerenciador de credenciais em nome de terceiros para apps privilegiados
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Apps privilegiados, como navegadores da Web, podem fazer uma chamada do Gerenciador de credenciais em
nome de outras partes confiáveis definindo o parâmetro origin nos métodos
GetCredentialRequest() e
CreatePublicKeyCredentialRequest().
A origin (link em inglês) representa o aplicativo ou site de origem de uma
solicitação e é usada pelas chaves de acesso como proteção contra ataques de phishing.
Os servidores de um app precisam conferir se os dados da origin do cliente estão presentes em uma
lista de permissões de apps e sites aprovados. Se o servidor receber uma solicitação de
um app ou site de origem não reconhecida, ela será rejeitada.
Este documento descreve como definir a origem desses apps de chamada privilegiados
e como verificar se esses apps têm permissão para fazer chamadas em nome de
terceiros.
Definir a origem do app de chamada
Para receber credenciais em nome de outra parte confiável, o provedor das credenciais
precisa adicionar seu app a uma lista de autores de chamada privilegiados
que têm permissão para fazer esse acesso. Em seguida, use setOrigin() nas
solicitações createCredential() e getCredential() para definir o
valor da origin.
Em apps privilegiados, como navegadores da Web que precisam processar credenciais
de terceiros, o Gerenciador de senhas do Google exige aprovação para fazer esse
processamento. Isso garante que apenas apps confiáveis possam acessar e gerenciar
credenciais de usuário de serviços externos. Se você quer receber aprovação para processar
credenciais de terceiros, preencha o formulário de solicitação (em inglês) para
abrir um tíquete.
O conteúdo e os exemplos de código nesta página estão sujeitos às licenças descritas na Licença de conteúdo. Java e OpenJDK são marcas registradas da Oracle e/ou suas afiliadas.
Última atualização 2025-07-27 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-27 UTC."],[],[],null,["# Make Credential Manager calls on behalf of other parties for privileged apps\n\nPrivileged apps such as web browsers can make a Credential Manager call on\nbehalf of other relying parties by setting the `origin` parameter in Credential\nManager's [`GetCredentialRequest()`](/reference/androidx/credentials/GetCredentialRequest#GetCredentialRequest(kotlin.collections.List,kotlin.String,kotlin.Boolean,android.content.ComponentName,kotlin.Boolean)) and\n[`CreatePublicKeyCredentialRequest()`](/reference/androidx/credentials/CreatePublicKeyCredentialRequest#CreatePublicKeyCredentialRequest(kotlin.String,kotlin.ByteArray,kotlin.Boolean,kotlin.String,kotlin.Boolean)) methods.\n\nThe [`origin`](https://www.w3.org/TR/webauthn-2/#dom-collectedclientdata-origin) represents the application or website that a\nrequest comes from, and is used by passkeys to protect against phishing attacks.\nAn app's servers are required to check the client data `origin` against an\nallowlist of approved apps and websites. If the server receives a request from\nan app or website from an unrecognized origin, the request should be rejected.\nThis document describes how to set the origin for such privileged calling apps,\nand how to verify such apps are allowed to make calls on behalf of other\nparties.\n\nSet the origin of the calling app\n---------------------------------\n\nTo get credentials on behalf of another relying party, the credential provider\nthat supplies the credentials must add your app to a list of privileged callers\nthat are allowed to get such access. Then, use [`setOrigin()`](/reference/android/credentials/GetCredentialRequest.Builder#setOrigin(java.lang.String)) on\n[`createCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#createCredential(android.content.Context,androidx.credentials.CreateCredentialRequest)) and [`getCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#getCredential(android.content.Context,androidx.credentials.PrepareGetCredentialResponse.PendingGetCredentialHandle)) requests to set the\n`origin` value.\n| **Note:** The `origin` parameter in the `createCredential()` and `getCredential()` methods is only effective in API levels 34 (Android 14) and higher.\n\nFor privileged apps such as web browsers that need to handle third party\ncredentials, Google Password Manager requires approval to handle those\ncredentials. This ensures that only trusted apps are able to access and manage\nuser credentials for external services. To be approved for handling third party\ncredentials, [complete the request form](https://docs.google.com/forms/d/e/1FAIpQLScRuk9tTg0QPfSWl9SbpbIorX8xx2FCXlmoUYftCX2MxG4qyg/viewform) to open a ticket and\nhave your request reviewed."]]
