वेब ब्राउज़र जैसे खास ऐप्लिकेशन, अन्य भरोसेमंद पक्षों की ओर से Credential Manager को कॉल कर सकते हैं. इसके लिए, उन्हें Credential Manager के GetCredentialRequest() और CreatePublicKeyCredentialRequest() तरीकों में origin पैरामीटर सेट करना होगा.
origin उस ऐप्लिकेशन या वेबसाइट को दिखाता है जिससे अनुरोध किया गया है. इसका इस्तेमाल पासकी, फ़िशिंग हमलों से बचाने के लिए करती हैं.
ऐप्लिकेशन के सर्वर को, क्लाइंट के डेटा origin की जांच करनी होती है. इसके लिए, मंज़ूरी पा चुके ऐप्लिकेशन और वेबसाइटों की अनुमति वाली सूची का इस्तेमाल किया जाता है. अगर सर्वर को किसी ऐसे ऐप्लिकेशन या वेबसाइट से अनुरोध मिलता है जिसका ऑरिजिन पहचाना नहीं गया है, तो अनुरोध को अस्वीकार कर दिया जाना चाहिए.
इस दस्तावेज़ में बताया गया है कि कॉल करने की सुविधा देने वाले ऐसे ऐप्लिकेशन के लिए ऑरिजिन कैसे सेट किया जाता है. साथ ही, यह भी बताया गया है कि यह कैसे पुष्टि की जाती है कि ऐसे ऐप्लिकेशन को अन्य पार्टियों की ओर से कॉल करने की अनुमति है.
कॉलिंग ऐप्लिकेशन का ओरिजिन सेट करना
किसी अन्य पार्टी की ओर से क्रेडेंशियल पाने के लिए, क्रेडेंशियल देने वाले व्यक्ति को आपके ऐप्लिकेशन को उन लोगों की सूची में जोड़ना होगा जिनके पास खास अधिकार हैं. इससे आपके ऐप्लिकेशन को क्रेडेंशियल ऐक्सेस करने की अनुमति मिल जाएगी. इसके बाद, origin वैल्यू सेट करने के लिए, createCredential() और getCredential() अनुरोधों पर setOrigin() का इस्तेमाल करें.
वेब ब्राउज़र जैसे खास ऐप्लिकेशन को तीसरे पक्ष के क्रेडेंशियल मैनेज करने होते हैं. इसलिए, Google Password Manager को उन क्रेडेंशियल को मैनेज करने की अनुमति चाहिए होती है. इससे यह पक्का किया जाता है कि सिर्फ़ भरोसेमंद ऐप्लिकेशन ही बाहरी सेवाओं के लिए, उपयोगकर्ता के क्रेडेंशियल ऐक्सेस और मैनेज कर सकें. तीसरे पक्ष के क्रेडेंशियल मैनेज करने की मंज़ूरी पाने के लिए, टिकट खोलने के लिए अनुरोध फ़ॉर्म भरें और अपने अनुरोध की समीक्षा करवाएं.