Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אחזור אימייל מאומת באמצעות פרטי כניסה דיגיטליים

במסמך הזה מוסבר איך להשתמש ב-Credential Manager כדי לקבל כתובת אימייל מאומתת קריפטוגרפית מהמכשיר של המשתמש. התהליך הזה מייתר את הצורך של משתמשי האפליקציה לאמת את כתובת האימייל שלהם באמצעות סיסמאות חד-פעמיות (OTP) או קישורים חד-פעמיים לכניסה.

במאמר הזה מוסבר על הנושאים הבאים:

תאימות ל-Android
חוויית משתמש
חשבונות נתמכים
ההשלכות של יכולת המסירה של אימיילים
השוואה עם כניסה באמצעות חשבון Google

במדריך הזה אנחנו יוצאים מנקודת הנחה שאתם מכירים את המושגים הבאים:

תאימות ל-Android

התכונה הזו נתמכת בטלפונים, בטאבלטים ובמכשירים מתקפלים עם Android מגרסה 9 (רמת API‏ 28) ואילך. הגרסה המינימלית של Google Play Services‏ (GMS) שנדרשת היא 25.49.x.

חוויית משתמש

בקטעים הבאים מתוארת חוויית המשתמש במהלך תהליך האימות, הצורך לכלול שיטות אימות חלופיות וחוויית המשתמש המומלצת לתרחישי שימוש שונים.

תהליך האימות

חוויית המשתמש בשיתוף אימייל מאומת היא כזו:

המשתמש מתמקד בשדה קלט או מקיש על לחצן שמפעיל את Credential Manager API. בהתאם לעיצוב המסך, אפשר גם להפעיל את ה-API בטעינת המסך של האפליקציה.
יופיע גיליון תחתון עם המידע שישותף עם האפליקציה. אם אין מידע זמין במכשיר, תוצג למשתמש הודעת שגיאה כללית.
אחרי שהמשתמש מקיש על הסכמה והמשך, מציגים הודעת הצלחה או כישלון.

הערה: אם כתובת האימייל המאומתת שקיבלתם לא תואמת למה שציפיתם, צריך להודיע למשתמש על חוסר ההתאמה ולבקש ממנו לנסות שוב עם פרטי כניסה אחרים או לספק שיטת אימות חלופית, כמו אימות באמצעות סיסמאות חד-פעמיות.
(אופציונלי, מומלץ) אם המשתמש נרשם לשירות שלכם, כדאי להציע לו ליצור מפתח גישה כדי שיהיה לו קל יותר להיכנס לשירות בהמשך.

הערה: תהליך האימות של כתובת האימייל לא מפעיל באופן אוטומטי יצירה של מפתח גישה. עם זאת, מומלץ מאוד לכלול את השלבים ליצירת מפתח גישה. מפתחות גישה עוזרים למשתמשים להיכנס לחשבון בצורה קלה ובטוחה יותר, ומבטלים את הצורך באינטראקציה הרגילה של שם משתמש וסיסמה.

הכללת תהליכים ראשיים ותהליכים חלופיים

כדי להבטיח חוויית משתמש חלקה, חשוב לכלול את האפשרויות הבאות במסכים שבהם נדרש אימות כתובת אימייל:

אפשרות האימות הראשית: שדה אימייל או לחצן להפעלת תהליך העבודה של Credential Manager API לאימות מהיר.
אפשרויות אימות חלופיות: קישור או לחצן שמאפשרים למשתמשים לבחור באפשרות 'אימות בדרך אחרת' או 'אפשרויות אחרות' להזנה ידנית של כתובת אימייל במקרה של כשלים, למשל אם אין מידע זמין במכשיר או אם יש אי התאמה בין כתובת האימייל שאותרה לבין כתובת האימייל הצפויה. כך המשתמשים יוכלו לנסות לאמת את הזהות שלהם באמצעות פרטי כניסה אחרים או באמצעות קוד אימות חד-פעמי (OTP) שהם יזינו באופן ידני.

תרחישים לדוגמה

בקטעים הבאים מתוארים תרחישי השימוש המומלצים, וגם חוויית המשתמש המוצעת, לאימות כתובת אימייל.

המשתמשים יכולים ליצור חשבון באופן מיידי עם כתובת אימייל מאומתת, בלי שלב אימות נפרד. אפשר להציג למשתמש הנחיה להוספת מפתח גישה. אם הם בוחרים להוסיף מפתח גישה, מפעילים את תהליך יצירת מפתח הגישה.

שחזור חשבון

כדי למנוע מהמשתמשים לחפש קודי שחזור בתיקיות הספאם שלהם, כדאי לאפשר להם לשחזר את החשבון באמצעות כתובת האימייל המאומתת שמאוחסנת בצורה מאובטחת במכשיר שלהם. בנוסף, כדאי להציע להם ליצור מפתח גישה לשימוש עתידי.

אימות מחדש לפעולות רגישות

כדי להגן על פעולות רגישות של משתמשים, כמו שינוי הגדרות או עדכון פרטי הפרופיל, אפשר לדרוש שלב מהיר של אימות מחדש.

שימוש באימות באימייל במהלך אימות מחדש — אימות אימייל במהלך אימות מחדש

חשבונות נתמכים

אימות כתובת אימייל דרך Credential Manager תומך רק באימות של חשבונות Google לשימוש אישי. אין תמיכה בחשבונות Workspace ובחשבונות בפיקוח.

אפשר ליצור חשבון Google לשימוש אישי עם כתובת אימייל מכל ספק, לאו דווקא עם כתובת שמסתיימת ב-‎ @gmail.com. עם זאת, Google מאמתת את החשבונות האלה באופן שונה:

בחשבונות עם כתובת שמסתיימת ב-‎ @gmail.com: Google היא המקור המוסמך, והאימייל מאומת.
בחשבונות שאינם מסוג ‎@gmail.com: Google לא תהיה המקור המוסמך לכתובות האימייל האלה בטווח הארוך. ‫Google מאמתת את כתובת האימייל כשיוצרים את החשבון, אבל הבעלות על כתובת האימייל הזו עשויה להשתנות עם הזמן. לכן, כשמדובר בכתובות שאינן מסוג ‎@gmail.com, מומלץ להוסיף שלב אימות, כמו שליחת סיסמה חד-פעמית, כדי לוודא שלמשתמש עדיין יש גישה לחשבון האימייל.

מידע נוסף על המשמעות של אימות זמין במאמר אישורים דיגיטליים.

תוקף ועדכניות

המערכת מנפיקה אישורים ניתנים לאימות (VC) על סמך כתובת האימייל הנוכחית של המשתמש מחשבונות Google הפעילים במכשיר. האישורים האלה מונפקים למכשיר מראש, בדרך כלל כשהמכשיר לא פעיל. יכול להיות שהפרטים האלה יישארו תקפים למשך כמה ימים, אבל המערכת מבצעת בדיקה ברגע שמשתפים את הפרטים כדי לוודא שהחשבון עדיין קיים, שהוא נמצא במכשיר ושהכתובת האימייל תקפה. כך למעשה, המערכת נותנת עדיפות לסטטוס המיידי של החשבון על פני חלון התוקף של הפרטים.

כדי להבטיח את האותנטיות, נוצרת חתימה של Key Binding (kb) בזמן השיתוף, שכוללת את ה-nonce.

אם מכשיר לא מחובר לאינטרנט או שהחשבון הוסר, התהליך ייכשל ולא יספק כרטיס וירטואלי שפג תוקפו או כרטיס וירטואלי לחשבון Google לא פעיל.

יכולת המסירה של אימיילים

התהליך מאשר את הלגיטימיות של החשבון, אבל לא מבטיח שהאימייל יגיע לתיבת הדואר הנכנס (לדוגמה, יכול להיות שהאימייל יועבר לספאם). סיסמה חד-פעמית (OTP) היא עדיין השיטה המהימנה ביותר לאישור מסירת אימייל.

השוואה עם כניסה באמצעות חשבון Google

גם פתרונות של אישורים דיגיטליים וגם פתרונות של כניסה באמצעות חשבון Google מספקים אימייל מאומת, אבל תהליכי המשתמש ותרחישי השימוש שונים:

תרחישים לדוגמה: תהליך האימות באמצעות אימייל במנהל פרטי הכניסה לא משמש רק בתרחישים של הרשמה או כניסה, אלא בכל תרחיש שכולל אחזור של אימייל מאומת. יכול להיות שיהיה צורך גם בשחזור החשבון.
הרשמה: בתהליך של Credential Manager לא נדרשת הרשמה ל-Google, בניגוד לכניסה באמצעות חשבון Google.
תמיכה בפלטפורמות: תהליך העבודה של Credential Manager הוא פתרון ל-Android בלבד.
היקפי הרשאות: בניגוד לכניסה באמצעות חשבון Google, שבה אפשר להשתמש ב-OAuth 2.0 כדי לבקש גישה לנתוני משתמשים (כמו יומן או Drive דרך היקפי הרשאות), ממשק ה-API של אישורים דיגיטליים מיועד אך ורק לאחזור מאפייני זהות מאומתים. אי אפשר להשתמש בו כדי לבקש היקפי הרשאה נוספים.

השלבים הבאים

כדי להטמיע את התכונה הזו באפליקציה, אפשר לעיין במדריך ההטמעה.