웹 브라우저와 같이 권한이 있는 앱은 인증 관리자의 GetCredentialRequest()와 CreatePublicKeyCredentialRequest() 메서드의 origin 매개변수를 설정하여 다른 신뢰 당사자 대신 인증 관리자를 호출할 수 있습니다.
origin은 요청이 발생한 애플리케이션 또는 웹사이트를 나타내며 피싱 공격으로부터 보호하기 위해 패스키에서 사용합니다.
앱 서버는 클라이언트 데이터 origin을 승인된 앱 및 웹사이트의 허용 목록과 대조해야 합니다. 서버가 인식할 수 없는 출처의 앱이나 웹사이트로부터 요청을 수신하는 경우 요청을 거부해야 합니다.
이 문서에서는 이러한 권한이 있는 호출 앱의 출처를 설정하는 방법과 이러한 앱이 다른 당사자를 대신하여 호출할 수 있는지 확인하는 방법을 설명합니다.
호출 앱의 출처 설정
다른 신뢰 당사자를 대신하여 사용자 인증 정보를 가져오려면 사용자 인증 정보를 제공하는 사용자 인증 정보 제공업체가 이러한 액세스 권한을 얻을 수 있는 권한 있는 호출자 목록에 앱을 추가해야 합니다. 그런 다음, createCredential()과 getCredential() 요청에서 setOrigin()을 사용하여 origin 값을 설정합니다.
서드 파티 사용자 인증 정보를 처리해야 하는 권한이 있는 앱(예: 웹브라우저)의 경우 Google 비밀번호 관리자에서 해당 사용자 인증 정보를 처리하기 위한 승인을 요구합니다. 이렇게 하면 신뢰할 수 있는 앱만 외부 서비스의 사용자 인증 정보에 액세스하고 관리할 수 있습니다. 서드 파티 사용자 인증 정보 처리 승인을 받으려면 요청 양식을 작성하여 티켓을 열고 요청을 검토받습니다.