为此,Google提出的替代筹划,是向 Android 设备直接发放经由加密验证的邮箱凭证。这类凭证与设备本身绑定,工作方法与近年来被广泛推广的 passkey(通行密钥)有类似之处,并经由过程 Credential Manager API 在身份验证过程中交付给应用。
根据报道,这项新才能被整合进 Android 的 Credential Manager API(凭证治理器 API)之中。Google欲望借此改革当前常见的身份验证方法:用户以前在注册应用或第三方办事时,平日须要经由过程电子邮件或短信接收一次性暗码,或点击邮件中的验证链接,以证实本身对某个邮箱地址的控制权;而在新机制下,用户将不必再频繁切换到收件箱查找临时验证码。
Google方面认为,现代身份验证经久处于安然性与便利性之间的衡量之中。固然传统的邮箱验证码和短信验证方法总体有效,但其操作链路较长,用户往往须要在新安装的应用与邮箱之间往返切换,这种“高低文切换”会增长摩擦成本。此外,邮箱地址固然获取门槛低,但在垃圾邮件过滤、邮件送达稳定性等方面,并不老是足够靠得住。
报道还提到,Google将用户在验证环节中的额外逗留时光视为影响转化率的潜在身分。按照Google的说法,用户在“验证轮回”中每多逗留一秒,都可能增长其掉去兴趣、放弃流程的概率,进而直接影响应用或办事的注册转化表示。
从技巧标准看,这套 API 采取了 W3C 的 Digital Credential API(数字凭证 API)规范。报道指出,它将来有可能在“确认邮箱归属权”这一义务上,替代现有发送和校验一次性验证码或短信消息的做法。Google称,新筹划在交互层面也更清楚,用户可以更明白地知道本身被请求供给哪些数据,以及这些数据将若何共享给第三方办事供给者。
对于开辟者而言,只要接入 Digital Credential API,就可以在应用中调用这种保存在设备端的邮箱凭证。如许一来,无论是新用户注册、账号找回,照样履行敏感操作与设置变革前的再次验证,都可以经由过程“一键赞成”的方法完成。
不过,这项功能今朝仍有实用范围限制。Google表示,现阶段仅支撑通俗花费者账户,绑定 Workspace 办事的 Google 账户以及受监管账户暂不在支撑之列。与此同时,已验证凭证可包含名字、姓氏、全名、头像等多种材料字段,但真正由Google主动完成验证的,今朝只有邮箱地址本身。
按照Google的假想,这项嵌入 Credential Manager API 的“已验证邮箱凭证”功能,最终目标是让身份验证不再是一项由用户手动完成的自力步调,而是成为移动端原生体验中的一部分。报道同时指出,Google比来也在其他安然敏感范畴采取类似思路,例如对第三方来源应用侧载持续加强风险提示与管控,显示其正试图在 Android 生态中,对更多关键安然环节实施更强的体系级主导。
发表评论 取消回复