Các ứng dụng có đặc quyền, chẳng hạn như trình duyệt web, có thể thay mặt cho các bên tin cậy khác thực hiện một lệnh gọi từ Trình quản lý thông tin xác thực bằng cách đặt tham số origin trong GetCredentialRequest() của Trình quản lý thông tin xác thực và các phương thức CreatePublicKeyCredentialRequest().
origin đại diện cho ứng dụng hoặc trang web đưa ra yêu cầu và được khoá truy cập sử dụng để chống lại các cuộc tấn công giả mạo.
Máy chủ của ứng dụng cần phải kiểm tra dữ liệu ứng dụng origin theo một danh sách cho phép gồm các ứng dụng và trang web đã được phê duyệt. Nếu máy chủ nhận được yêu cầu của một ứng dụng hoặc trang web từ một nguồn không xác định, thì yêu cầu đó sẽ bị từ chối.
Tài liệu này mô tả cách đặt nguồn gốc cho những ứng dụng gọi có đặc quyền như vậy, và cách để xác minh rằng những ứng dụng đó được phép thay mặt cho các bên khác thực hiện các lệnh gọi.
Đặt nguồn gốc cho ứng dụng gọi
Để lấy thông tin đăng nhập thay mặt cho một bên tin cậy khác, trình cung cấp thông tin đăng nhập phải thêm ứng dụng của bạn vào danh sách phương thức gọi có đặc quyền được phép thực hiện việc truy cập như vậy. Sau đó, sử dụng setOrigin() trên các yêu cầu createCredential() và getCredential() để đặt giá trị origin.
Đối với các ứng dụng có đặc quyền (chẳng hạn như trình duyệt web cần xử lý thông tin đăng nhập của bên thứ ba), Trình quản lý mật khẩu của Google sẽ yêu cầu phê duyệt để xử lý các thông tin đăng nhập đó. Điều này đảm bảo rằng chỉ những ứng dụng đáng tin cậy mới có thể truy cập và quản lý thông tin đăng nhập của người dùng cho các dịch vụ bên ngoài. Để được phê duyệt xử lý thông tin đăng nhập của bên thứ ba, hãy hoàn tất biểu mẫu yêu cầu để mở một phiếu yêu cầu hỗ trợ và qua đó, yêu cầu của bạn sẽ được xem xét.