Melakukan panggilan Pengelola Kredensial atas nama pihak lain untuk aplikasi dengan hak istimewa
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Aplikasi dengan hak istimewa seperti browser web dapat melakukan panggilan Pengelola Kredensial atas nama
pihak tepercaya lainnya dengan menetapkan parameter origin di GetCredentialRequest()
Pengelola Kredensial dan
metode CreatePublicKeyCredentialRequest().
origin mewakili aplikasi atau situs tempat
asal permintaan, dan digunakan oleh kunci sandi untuk melindungi dari serangan phishing.
Server aplikasi wajib memeriksa origin data klien terhadap
daftar aplikasi dan situs yang disetujui. Jika server
menerima permintaan dari aplikasi atau situs dari origin yang tidak dikenal, permintaan tersebut harus ditolak.
Dokumen ini menjelaskan cara menetapkan origin untuk aplikasi panggilan dengan hak istimewa tersebut,
dan cara memverifikasi bahwa aplikasi tersebut diizinkan untuk melakukan panggilan atas nama
pihak lain.
Menetapkan origin aplikasi panggilan
Untuk mendapatkan kredensial atas nama pihak tepercaya lain, penyedia kredensial
yang memberikan kredensial harus menambahkan aplikasi Anda ke daftar pemanggil dengan hak istimewa
yang diizinkan untuk mendapatkan akses tersebut. Lalu, gunakan setOrigin() pada
permintaan createCredential() dan getCredential() untuk menetapkan
nilai origin.
Untuk aplikasi dengan hak istimewa seperti browser web yang perlu menangani kredensial
pihak ketiga, Pengelola Sandi Google memerlukan persetujuan untuk menangani
kredensial tersebut. Hal ini memastikan hanya aplikasi tepercaya yang dapat mengakses dan mengelola
kredensial pengguna untuk layanan eksternal. Agar disetujui untuk menangani kredensial pihak ketiga, lengkapi formulir permintaan untuk membuka tiket
agar permintaan Anda ditinjau.
Konten dan contoh kode di halaman ini tunduk kepada lisensi yang dijelaskan dalam Lisensi Konten. Java dan OpenJDK adalah merek dagang atau merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-07-27 UTC.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Informasi yang saya butuhkan tidak ada","missingTheInformationINeed","thumb-down"],["Terlalu rumit/langkahnya terlalu banyak","tooComplicatedTooManySteps","thumb-down"],["Sudah usang","outOfDate","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Masalah kode / contoh","samplesCodeIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-07-27 UTC."],[],[],null,["# Make Credential Manager calls on behalf of other parties for privileged apps\n\nPrivileged apps such as web browsers can make a Credential Manager call on\nbehalf of other relying parties by setting the `origin` parameter in Credential\nManager's [`GetCredentialRequest()`](/reference/androidx/credentials/GetCredentialRequest#GetCredentialRequest(kotlin.collections.List,kotlin.String,kotlin.Boolean,android.content.ComponentName,kotlin.Boolean)) and\n[`CreatePublicKeyCredentialRequest()`](/reference/androidx/credentials/CreatePublicKeyCredentialRequest#CreatePublicKeyCredentialRequest(kotlin.String,kotlin.ByteArray,kotlin.Boolean,kotlin.String,kotlin.Boolean)) methods.\n\nThe [`origin`](https://www.w3.org/TR/webauthn-2/#dom-collectedclientdata-origin) represents the application or website that a\nrequest comes from, and is used by passkeys to protect against phishing attacks.\nAn app's servers are required to check the client data `origin` against an\nallowlist of approved apps and websites. If the server receives a request from\nan app or website from an unrecognized origin, the request should be rejected.\nThis document describes how to set the origin for such privileged calling apps,\nand how to verify such apps are allowed to make calls on behalf of other\nparties.\n\nSet the origin of the calling app\n---------------------------------\n\nTo get credentials on behalf of another relying party, the credential provider\nthat supplies the credentials must add your app to a list of privileged callers\nthat are allowed to get such access. Then, use [`setOrigin()`](/reference/android/credentials/GetCredentialRequest.Builder#setOrigin(java.lang.String)) on\n[`createCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#createCredential(android.content.Context,androidx.credentials.CreateCredentialRequest)) and [`getCredential()`](/reference/kotlin/androidx/credentials/CredentialManager#getCredential(android.content.Context,androidx.credentials.PrepareGetCredentialResponse.PendingGetCredentialHandle)) requests to set the\n`origin` value.\n| **Note:** The `origin` parameter in the `createCredential()` and `getCredential()` methods is only effective in API levels 34 (Android 14) and higher.\n\nFor privileged apps such as web browsers that need to handle third party\ncredentials, Google Password Manager requires approval to handle those\ncredentials. This ensures that only trusted apps are able to access and manage\nuser credentials for external services. To be approved for handling third party\ncredentials, [complete the request form](https://docs.google.com/forms/d/e/1FAIpQLScRuk9tTg0QPfSWl9SbpbIorX8xx2FCXlmoUYftCX2MxG4qyg/viewform) to open a ticket and\nhave your request reviewed."]]
