No cenário digital moderno, o primeiro contato de um usuário com um app costuma ser o mais importante. No entanto, por décadas, essa interação inicial foi prejudicada pelo atrito dos métodos tradicionais de verificação. Hoje, temos o prazer de anunciar uma nova credencial de e-mail verificada emitida pelo Google, que os desenvolvedores podem recuperar diretamente da API Digital Credential do Credential Manager do Android.

O problema: atrito de autenticação na era moderna

A "era atual" da autenticação é definida por uma compensação entre segurança e conveniência. Para garantir que um usuário seja o proprietário do endereço de e-mail fornecido, geralmente você usa senhas únicas (OTPs) ou "links mágicos" enviados por e-mail ou SMS.

Embora sejam eficazes, essas etapas tradicionais apresentam obstáculos significativos:

• Troca de contexto: os usuários precisam sair do app, abrir a caixa de entrada ou o app de mensagens, encontrar o código e voltar. Nesse processo, muitos usuários em potencial simplesmente desistem.
• Problemas de entrega: embora os e-mails sejam sem custo financeiro, eles podem ser atrasados ou desviados para pastas de spam.
• Fricção no onboarding: cada segundo extra gasto no "loop de verificação" é um segundo em que um usuário pode perder o interesse, afetando diretamente as taxas de conversão.

A solução: e-mail verificado e sem problemas

Agora, o Google emite uma credencial de e-mail criptograficamente verificada diretamente para dispositivos Android. Essa credencial de e-mail verificada é entregue pela API Credential Manager, que é a implementação do Android do padrão API Digital Credential do W3C. 

Para os usuários, isso elimina completamente a necessidade de verificar manualmente o e-mail por canais externos. Para desenvolvedores, a API entrega com segurança essas declarações de usuários verificados em qualquer cenário, seja criando um fluxo de criação de contas, um processo de recuperação ou uma autenticação de aumento de risco. 

Embora esse endereço de e-mail verificado específico seja originado de forma segura da Conta do Google do usuário no dispositivo, a API Digital Credentials subjacente é independente do emissor. Isso promove um ecossistema aberto, permitindo que qualquer pessoa que tenha uma credencial digital com uma reivindicação de e-mail ofereça essa verificação ao seu app.

Experiência do usuário

A beleza dessa API está na simplicidade para o usuário final. Em vez de procurar códigos OTP, a experiência é integrada diretamente ao SO Android:

1. Início:o processo começa quando um usuário se concentra em um campo de entrada de e-mail ou toca em um botão "Inscrever-se" ou "Recuperar conta". Você também pode iniciar o processo no carregamento de página.
2. Transparência: uma página inferior nativa do Android aparece, detalhando claramente quais dados estão sendo solicitados (por exemplo, o endereço de e-mail verificado do usuário).
3. Consentimento com um toque: o usuário só precisa tocar em "Concordar e continuar" para compartilhar os dados.
4. Progresso imediato: assim que o consentimento é dado, o app recebe os dados instantaneamente. Para fluxos de inscrição ou recuperação de conta, você pode fazer a transição perfeita do usuário para a criação de chaves de acesso, garantindo:
   1. Os usuários não precisam inserir informações manualmente, como no registro tradicional de nome de usuário/senha.  
   2. O próximo login será ainda mais rápido e seguro.

Caso de uso 1. Inscrever-se

Acelere a integração buscando um e-mail verificado no momento em que o usuário toca em "Inscrever-se". Recomendamos que você combine a recuperação de e-mail verificado com a criação de chaves de acesso, que também faz parte da API Credential Manager:

Observação: também é possível buscar outros campos não verificados, como nome, sobrenome, nome completo, foto do perfil e domínio hospedado conectados ao e-mail verificado de um usuário.

Caso de uso 2. Recuperação de conta 

Evite que os usuários precisem procurar códigos de recuperação nas pastas de spam. Para isso, permita que eles recuperem a conta usando o e-mail verificado armazenado com segurança no dispositivo:

Caso de uso 3. Reautenticação para ações sensíveis 

Proteja ações sensíveis do usuário, como mudar configurações ou atualizar detalhes do perfil, exigindo uma etapa rápida de reautenticação. Em vez de uma OTP, você pode fazer uma verificação simples usando o e-mail verificado do dispositivo:

Considerações importantes

Ao projetar sua arquitetura de autenticação com base na API Digital Credentials, lembre-se dos seguintes detalhes:

• Suporte à conta: para a credencial de e-mail específica emitida pelo Google, apenas as Contas do Google pessoais comuns são aceitas. No momento, as contas supervisionadas e do Workspace não são aceitas. A API Credential Manager não depende de emissores. Isso significa que outros provedores de identidade podem emitir credenciais com as próprias políticas de suporte a contas.
• Outros dados do usuário:além do e-mail, você pode solicitar o nome próprio, o sobrenome, o nome completo e a foto do perfil do usuário. No entanto, apenas o e-mail é verificado pelo Google.
• Verificação automática das suas contas @gmail:a API fornece e-mails verificados para todas as Contas do Google pessoais. Recomendamos verificar automaticamente os usuários do @gmail.com e encaminhar os domínios personalizados para seu fluxo de verificação atual, por exemplo, um fluxo de OTP. Isso garante que você mantenha o acesso de longo prazo para domínios externos não gerenciados diretamente pelo Google.
• Complementar ao recurso "Fazer login com o Google": embora a nova credencial de e-mail verificado e a API "Fazer login com o Google" forneçam um e-mail verificado, a escolha depende da experiência do usuário pretendida:
  • Use o recurso Fazer login com o Google quando os usuários quiserem criar uma sessão de login federado.
  • Use o e-mail verificado quando os usuários quiserem fazer login da maneira tradicional com um nome de usuário/senha ou chave de acesso, mas quiserem verificar automaticamente o endereço de e-mail sem a tarefa manual de uma senha única.

Conclusão e próximas etapas

Ao integrar o novo e-mail verificado pela API Credential Manager, você pode reduzir drasticamente o atrito na integração e oferecer aos usuários uma jornada de autenticação mais simplificada e segura. Isso representa uma mudança para um futuro em que a "verificação" não é mais uma tarefa manual para o usuário, mas uma parte integrada e perfeita da experiência nativa em dispositivos móveis.

Quer saber como isso se encaixa no seu app? Para começar, atualize seu projeto para a API Credential Manager mais recente e confira nosso guia de integração. Recomendamos que você saiba como essa verificação simplificada pode otimizar suas jornadas críticas do usuário, desde a criação de contas até o aprimoramento dos fluxos de autenticação.