Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recuperar um e-mail verificado usando credenciais digitais

Este documento descreve como usar o Gerenciador de credenciais para receber um endereço de e-mail criptograficamente verificado do dispositivo de um usuário. Esse processo elimina a necessidade de os usuários do app verificarem o e-mail com senhas únicas (OTPs) ou links mágicos.

Neste documento, explicamos as seguintes áreas:

Compatibilidade com Android
Experiência do usuário
Contas aceitas
Implicação da capacidade de entrega de e-mails
Comparação com o recurso Fazer login com o Google

Neste guia, presumimos que você esteja familiarizado com os seguintes conceitos:

Compatibilidade com Android

Esse recurso está disponível em smartphones, tablets e dispositivos dobráveis com o Android 9 (nível 28 da API) e versões mais recentes. A versão mínima do Google Play Services (GMS) necessária é a 25.49.x.

Experiência do usuário

As seções a seguir descrevem a experiência do usuário durante o fluxo de verificação, a necessidade de incluir métodos alternativos de verificação e a experiência do usuário recomendada para vários casos de uso.

O fluxo de verificação

A experiência do usuário para compartilhar um e-mail verificado é a seguinte:

O usuário se concentra em um campo de entrada ou toca em um botão que chama a API Credential Manager. Dependendo do design da tela, você também pode chamar a API no carregamento da tela do app.
Uma página inferior aparece, mostrando as informações que serão compartilhadas com o app. Se nenhuma informação estiver disponível no dispositivo, o usuário vai receber uma mensagem de erro genérica.
Depois que o usuário tocar em Concordar e continuar, mostre uma mensagem de sucesso ou falha.

Observação: se o e-mail verificado que você receber não corresponder ao esperado, informe o usuário sobre a incompatibilidade e peça para ele tentar de novo com uma credencial diferente ou forneça um método de verificação alternativo, como por senhas únicas.
(Opcional, recomendado) Se o usuário estiver se inscrevendo no seu serviço, peça para ele criar uma chave de acesso para facilitar o login depois.

Observação: o processo de verificação de e-mail não aciona automaticamente a criação de chaves de acesso. No entanto, é altamente recomendável incluir as etapas para criação de chaves de acesso. As chaves de acesso ajudam os usuários porque facilitam e aumentam a segurança do login, além de eliminar a necessidade da interação convencional de nome de usuário e senha.

Incluir fluxos principal e de substituição

Para garantir uma experiência do usuário simplificada, inclua as seguintes opções em telas que exigem verificação de e-mail:

Opção principal de verificação: um campo de e-mail ou um botão para acionar o fluxo da API Credential Manager para verificação rápida.
Opções alternativas de verificação: um link ou botão para os usuários "Verificarem de outra forma" ou com "Outras opções" para entrada manual de e-mail em caso de falhas, como nenhuma informação disponível no dispositivo ou uma incompatibilidade entre o e-mail recuperado e o esperado. Isso permite que os usuários tentem a verificação com uma credencial diferente ou fornecendo uma senha única manual.

Casos de uso

As seções a seguir descrevem os casos de uso recomendados e a experiência do usuário sugerida para a verificação de e-mail.

Os usuários podem criar uma conta imediatamente com um e-mail verificado sem uma etapa de verificação separada. Se quiser, peça para o usuário adicionar uma chave de acesso. Se a pessoa optar por adicionar uma chave de acesso, inicie o fluxo de criação de chave de acesso.

Recuperação de conta

Para evitar que os usuários precisem procurar códigos de recuperação nas pastas de spam, permita que eles recuperem a conta usando o e-mail verificado armazenado com segurança no dispositivo. Além disso, sugira que eles criem uma chave de acesso para uso futuro.

Reautenticação para ações sensíveis

Proteja ações sensíveis do usuário, como mudar configurações ou atualizar detalhes do perfil, exigindo uma etapa rápida de reautenticação.

Como usar a verificação de e-mail durante a reautenticação — Verificação de e-mail durante a reautenticação

Contas aceitas

A verificação de e-mail pelo Gerenciador de credenciais só é compatível com a verificação de Contas do Google de consumidores. Contas do Workspace e contas supervisionadas não são compatíveis.

Uma Conta do Google pessoal pode ser criada com um endereço de e-mail de qualquer provedor, não necessariamente @gmail.com. No entanto, o Google verifica essas contas de maneira diferente:

Para contas @gmail.com: o Google é a fonte oficial, e o e-mail é conhecido por ser verificado.
Para contas que não são @gmail.com: o Google não é a fonte autorizada desses endereços de e-mail a longo prazo. Embora o Google verifique o e-mail quando a conta é criada, a propriedade desse endereço pode mudar com o tempo. Portanto, para endereços que não são @gmail.com, considere uma etapa de verificação adicional, como o envio de uma senha única, para garantir que o usuário ainda tenha acesso à conta de e-mail.

Para mais informações sobre o que a verificação implica, consulte Credenciais digitais.

Validade e atualização

O sistema emite credenciais verificáveis (VCs, na sigla em inglês) com base no e-mail atual do usuário das Contas do Google ativas no dispositivo. Essas credenciais são emitidas para o dispositivo com antecedência, geralmente enquanto ele está inativo. Embora essas credenciais possam permanecer válidas por vários dias, o sistema realiza uma verificação no momento do compartilhamento para garantir que a conta ainda exista, esteja no dispositivo e que o endereço de e-mail seja válido. Isso prioriza o status imediato da conta em vez do período de validade da credencial.

Para garantir a autenticidade, uma assinatura de vinculação de chave (kb, na sigla em inglês) é gerada no momento do compartilhamento, incorporando o nonce.

Se um dispositivo estiver off-line ou a conta for removida, o processo vai falhar em vez de fornecer um VC expirado ou para uma Conta do Google inativa.

Capacidade de entrega de e-mails

Embora o processo confirme a legitimidade da conta, ele não garante a entrega na caixa de entrada. Por exemplo, o e-mail pode ser desviado para o spam. Um OTP continua sendo o método definitivo para confirmar a capacidade de entrega de e-mails.

Comparação com o recurso Fazer login com o Google

Embora as soluções de credenciais digitais e Fazer login com o Google forneçam um e-mail verificado, os fluxos de usuários e os casos de uso são diferentes:

Casos de uso: o fluxo de verificação de e-mail do Credential Manager não é usado exclusivamente em casos de uso de inscrição ou login, mas pode ser usado em qualquer caso de uso que envolva a recuperação de e-mail verificado. Isso pode incluir a recuperação de conta.
Registro: o fluxo do Credential Manager não exige registro no Google, ao contrário do recurso Fazer login com o Google.
Suporte a plataformas: o fluxo do Gerenciador de credenciais é uma solução exclusiva do Android.
Escopos: ao contrário do recurso Fazer login com o Google, que pode usar o OAuth 2.0 para solicitar acesso a dados do usuário (como Agenda ou Drive por escopos), a API Digital Credentials é estritamente para recuperar atributos de identidade verificados. Ela não pode ser usada para solicitar escopos de autorização adicionais.

Próximas etapas

Para implementar esse recurso no seu app, consulte o guia de implementação.