لتقديم تجربة قوية باستخدام مفاتيح المرور، ننصحك بأن ينفّذ تطبيقك ما يلي:
- إدارة مفاتيح المرور الخاصة بالمستخدم: أدرِج قسمًا مخصّصًا لإدارة مفاتيح المرور ضمن إعدادات تطبيقك للسماح للمستخدمين بإدارة مفاتيح المرور الخاصة بهم.
- دمج مقدّم خدمة بيانات الاعتماد: للتواصل مع مقدّمي خدمة بيانات الاعتماد، يمكن لخادم التطبيق تنفيذ نقاط نهاية مفتاح المرور للتسجيل والمصادقة والحذف.
إدارة مفاتيح مرور المستخدم
للسماح للمستخدمين بإدارة مفاتيح المرور، عليك تضمين قسم مخصّص لإدارة مفاتيح المرور في تطبيقك، يتيح للمستخدمين إنشاء مفاتيح المرور وعرضها وإعادة تسميتها وحذفها.
عرض مفاتيح المرور المتاحة
ضِمن إعدادات تطبيقك الخاصة بمفاتيح المرور، قدِّم للمستخدمين معلومات تتضمّن مقدّم بيانات الاعتماد الذي تم استخدامه لإنشاء بيانات الاعتماد وتاريخ الإنشاء وتاريخ آخر استخدام.
للحصول على معلومات مقدّم بيانات الاعتماد، استخدِم معرّف Authenticator Attestation
Globally Unique Identifier (AAGUID) المرتبط بمفتاح المرور المعنيّ.
يشكّل AAGUID جزءًا من PublicKeyCredential الذي يتم عرضه عند إنشاء مفتاح المرور. يتيح لك AAGUID تحديد موفِّر بيانات الاعتماد الذي أنشأ مفتاح المرور. لمزيد من المعلومات، اطّلِع على مقالة تحديد مقدّم خدمة مفتاح المرور باستخدام AAGUID.
يمكن لتطبيقك عرض التفاصيل التالية حول مفتاح مرور:
- اسم مفتاح المرور: يعرض الاسم الذي تم إدخاله عند تسجيل مفتاح المرور. يستند الاسم المثالي إلى مقدّم بيانات الاعتماد (باستخدام AAGUID). وفي حال تعذّر تحديد مقدّم البيانات، استخدِم معلومات طراز الجهاز من
android.os.Build. - شعار موفِّر الخدمة: لعرض شعار موفِّر بيانات الاعتماد يساعد هذا المؤشر المرئي المستخدمين في تحديد مفتاح المرور الصحيح الذي يريدون إدارته بسرعة.
- الطوابع الزمنية: قدِّم الطابع الزمني للإنشاء والطابع الزمني لآخر استخدام. تساعد هذه المعلومات المستخدمين في إدارة بيانات الاعتماد وتحديد مفاتيح المرور القديمة أو غير المستخدَمة.
- مؤشر حالة المزامنة: تتم تلقائيًا مزامنة مفاتيح المرور مع مقدّمي خدمات بيانات الاعتماد، ولكن قد تختلف إمكانات المزامنة. لمنع حدوث أي التباس لدى المستخدمين، يجب الإشارة بوضوح إلى ما إذا كان مفتاح المرور لا يتيح المزامنة.
- تفاصيل آخر تسجيل دخول (اختياري): قدِّم تفاصيل مثل المتصفّح أو نظام التشغيل أو عنوان IP أو الموقع الجغرافي لآخر تسجيل دخول. هذه الميزة اختيارية قيّمة تتيح للمستخدمين التعرّف على الأنشطة المريبة المحتملة.
بالإضافة إلى هذه التفاصيل، يجب أن تتضمّن الشاشة أزرارًا تتيح للمستخدمين إدارة كل مفتاح مرور، أي حذفه أو إعادة تسميته.
إنشاء مفاتيح مرور متعددة
مع أنّه عليك أن تتيح للمستخدمين فرصًا لإنشاء مفاتيح مرور في جميع مراحل رحلة المستخدم، مثل بعد تسجيل الدخول مباشرةً، يجب أن يتيح قسم إعدادات مفاتيح المرور في تطبيقك للمستخدمين إنشاء مفاتيح مرور من موفّر بيانات الاعتماد الذي يختارونه.
للحدّ من خطر حظر الحسابات، اسمح للمستخدمين بتسجيل عدة مفاتيح مرور مع مقدّمي خدمات بيانات اعتماد مختلفين. إذا تعذّر الوصول إلى أحد موفّري بيانات الاعتماد، مثلاً إذا أوقفت المنصة إتاحة الخدمة أو إذا فقد المستخدم إمكانية الوصول، يمكنه استخدام مفتاح مرور آخر لتسجيل الدخول. تأكَّد من أنّ قاعدة البيانات تتيح تخزين بيانات اعتماد متعدّدة لكل مستخدم. ومع ذلك، يمكنك منع المستخدمين من إنشاء مفتاح مرور للحساب نفسه باستخدام مقدّم بيانات الاعتماد نفسه.
حذف مفاتيح المرور
يجب أن يتيح قسم إعدادات مفاتيح المرور في تطبيقك للمستخدمين حذف مفاتيح المرور.
يمكنك دمج Signal API لإتاحة وظيفة حذف مفتاح المرور.
دمج موفِّر بيانات الاعتماد
للحفاظ على اتساق مفاتيح المرور بين خادم التطبيق ومزوّد بيانات الاعتماد، فعِّل إدارة مفاتيح المرور من المسار المحدّد مسبقًا /.well-known/passkey-endpoints على خادم التطبيق. ويتيح ذلك لمقدّمي بيانات الاعتماد استخدام نقاط النهاية هذه مباشرةً لإدارة مفاتيح المرور. لمزيد من المعلومات، راجِع مقالة إضافة نقاط نهاية لمفاتيح المرور.
مراجع إضافية
- دليل تجربة المستخدم لمفاتيح المرور
- فيديو: كيفية تقليل الاعتماد على كلمات المرور في تطبيقات Android من خلال توفير ميزة مفتاح المرور
- درس تطبيقي: تعرَّف على كيفية تبسيط رحلات المصادقة باستخدام Credential Manager API في تطبيق Android
- تطبيق نموذجي: CredentialManager