Las apps con privilegios, como los navegadores web, pueden realizar una llamada al Administrador de credenciales en nombre de terceros de confianza si se configura el parámetro origin en GetCredentialRequest() y CreatePublicKeyCredentialRequest() del Administrador de credenciales.
El objeto origin representa la aplicación o el sitio web de donde proviene una solicitud. Las llaves de acceso usan este código para protegerte de los ataques de phishing.
Los servidores de una app deben verificar los datos origin del cliente con una lista de entidades permitidas de apps y sitios web aprobados. Si el servidor recibe una solicitud de una app o un sitio web de un origen no reconocido, se debe rechazar la solicitud.
En este documento, se describe cómo configurar el origen para esas apps de llamadas con privilegios y cómo verificar que estas puedan realizar llamadas en nombre de terceros.
Cómo establecer el origen de la app que realiza la llamada
Para obtener credenciales en nombre de un tercero, el proveedor de credenciales que brinda las credenciales debe agregar tu app a una lista de emisores con privilegios que tienen permitido obtener ese acceso. Luego, usa setOrigin() en las solicitudes createCredential() y getCredential() para establecer el parámetro origin.
En el caso de las apps con privilegios, como los navegadores web que necesitan administrar credenciales de terceros, el Administrador de contraseñas de Google requiere aprobación para administrar dichas credenciales. Esto garantiza que solo las apps de confianza puedan acceder a credenciales del usuario para servicios externos y administrarlas. Si quieres obtener la aprobación para administrar credenciales de terceros, completa el formulario de solicitud para abrir un ticket y que se revise tu solicitud.