شرح الوساطة الفورية في WebAuthn

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

يخلق الانتقال إلى مفاتيح المرور ما يسمى بـ "مفارقة مفاتيح المرور": بعض المستخدمين لديهم مفاتيح مرور، بينما لا يزال الكثيرون يستخدمون كلمات المرور التقليدية. يؤدي هذا إلى شاشات تسجيل دخول مزدحمة بأزرار متعددة: "تسجيل الدخول بكلمة المرور"، "تسجيل الدخول بحساب Google"، و"تسجيل الدخول بمفتاح المرور". يسبب هذا التجزؤ احتكاكًا في تجربة المستخدم. قد ينقر المستخدم على "تسجيل الدخول بمفتاح المرور" على جهاز جديد ليواجه مطالبة مربكة بـ رمز QR لأن مفتاح المرور الخاص به غير متوفر محليًا. المشكلة الأساسية هي عدم قدرة الموقع على معرفة سياق المستخدم قبل بدء تدفق المصادقة.

أحد الحلول هو البدء بالمعرّف أولاً وتحديد أفضل طريقة تسجيل دخول للمستخدم. حل آخر محتمل هو زر "تسجيل الدخول" واحد وذكي ينسق التدفق الأكثر سلاسة لكل مستخدم. يجب أن يطالب مباشرة بمفتاح مرور إذا كان متاحًا على الجهاز، أو يعود بسلاسة إلى طرق أخرى إذا لم يكن كذلك.

تم الإعلان عن ميزة جديدة في WebAuthn يمكن أن تجعل هذا ممكنًا: الوساطة الفورية (mediation: 'immediate'). من خلال تعيين هذه الخاصية في استدعاء واجهة برمجة تطبيقات WebAuthn، يمكن للمطورين بناء تجربة تسجيل دخول ذكية وموحدة تحل مفارقة مفاتيح المرور. يقدم هذا المقال تحليلاً موجهاً للمطورين حول mediation: 'immediate'، مستكشفًا ماهيتها، وكيف تعمل، وكيفية تطبيقها.

لفهم الوساطة الفورية، من المفيد أولاً معرفة الخيارات الأخرى. وساطة المستخدم في WebAuthn هي الطريقة التي يدير بها المتصفح التفاعل بين موقعك (الطرف المعتمد) وأداة المصادقة الخاصة بالمستخدم (مثل Face ID أو YubiKey).

هذا هو تدفق WebAuthn الكلاسيكي والصريح. عندما يستدعي الطرف المعتمد navigator.credentials.get() دون تحديد تفضيل mediation، يعرض المتصفح دائمًا مربع حوار نموذجي. يغطي مربع الحوار هذا محتوى الصفحة، ويتطلب انتباه المستخدم الفوري ويوقف كل التفاعلات الأخرى مع الموقع.

• حالة الاستخدام: الأفضل لأزرار "تسجيل الدخول بمفتاح المرور" المخصصة حيث يكون المستخدم قد صرح بوضوح عن نيته.
• القيود: إذا لم يكن لدى المستخدم مفتاح مرور على الجهاز الحالي، يتم عرض تدفق عبر الأجهزة (مثل رمز QR)، والذي يمكن أن يكون طريقًا مسدودًا ومربكًا.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

تم تقديم هذا الوضع للمساعدة في انتقال المستخدمين إلى مفاتيح المرور، وهو أكثر دقة. مع mediation: 'conditional'، يتم إرفاق طلب WebAuthn بحقل إدخال (مثل اسم المستخدم) مع السمة autocomplete="webauthn". عندما ينقر المستخدم على الحقل، تقترح واجهة المستخدم للإكمال التلقائي في المتصفح أي مفاتيح مرور متاحة.

• حالة الاستخدام: مثالية للتحسين التدريجي لنماذج تسجيل الدخول التقليدية، مما يسمح للمستخدمين باكتشاف واستخدام مفاتيح المرور دون زر منفصل.
• القيود: تعطي الأولوية للخصوصية بشكل صارم لدرجة أنه إذا لم يكن لدى المستخدم مفتاح مرور أو لم يتفاعل مع المطالبة، فإن وعد استدعاء الواجهة البرمجية لا يتم حله أبدًا. لا يحصل الموقع على أي إشارة، مما يجعل من المستحيل تنسيق واجهة مستخدم بديلة.

mediation: 'immediate' هي الحل لمشكلة "زر تسجيل الدخول الموحد". إنها توفر طريقة موثوقة للموقع للتحقق من توفر مفتاح المرور قبل عرض أي واجهة مستخدم.

بدلاً من إخبار المستخدم بالمصادقة باستخدام مفتاح مرور عبر نافذة نموذجية، تسأل الوساطة immediate المتصفح: "هل هناك مفتاح مرور متاح بسهولة لهذا المستخدم على هذا الجهاز الآن؟"

بشكل حاسم، يتحقق هذا الاستعلام فقط من بيانات الاعتماد المتاحة محليًا (مثل أدوات المصادقة المدمجة في الجهاز مثل Windows Hello أو مفاتيح المرور المتزامنة عبر مدير كلمات المرور). تم تصميمه لـ تجنب تشغيل تدفق رمز QR عبر الأجهزة، والذي يعد نقطة احتكاك شائعة.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

تكمن قوة هذه الميزة في نتيجتها الثنائية الواضحة. الوعد الذي يعيده navigator.credentials.get() إما سينجح أو يفشل، مما يمنح المطور إشارة واضحة.

• المسار 1 (نجاح): توجد بيانات اعتماد. إذا وجد المتصفح مفتاح مرور متاحًا محليًا، فإنه يتجاوز واجهة مستخدم الموقع ويعرض فورًا نافذته النموذجية الأصلية، مثل أداة اختيار الحساب. إذا نجح المستخدم في المصادقة، يتم حل الوعد مع كائن PublicKeyCredential.
• المسار 2 (فشل): لا توجد بيانات اعتماد. إذا لم يجد المتصفح أي بيانات اعتماد متاحة محليًا، فإنه لا يعرض أي واجهة مستخدم. بدلاً من ذلك، يتم رفض وعد navigator.credentials.get() فورًا مع DOMException باسم NotAllowedError.

الخطأ NotAllowedError ليس خللاً برمجيًا، بل هو أشبه بميزة. إنه إشارة موثوقة وفورية بأنه يجب على الموقع المتابعة بطريقة مصادقة بديلة. يسمح هذا للمطورين باستخدام كتلة try...catch بسيطة: تحاول كتلة try تدفق مفتاح المرور السلس، وتستمع كتلة catch إلى NotAllowedError لعرض نموذج تسجيل دخول تقليدي. إنها تحل بأناقة مشكلة زر تسجيل الدخول الموحد عن طريق إنشاء نقطة دخول واحدة تتكيف بذكاء مع سياق المستخدم.

يعد اختيار وضع الوساطة الصحيح قرارًا حاسمًا في تجربة المستخدم. يقدم هذا الجدول مقارنة جنبًا إلى جنب.

إليك دليل عملي خطوة بخطوة لتطبيق mediation: 'immediate'.

نظرًا لأن mediation: 'immediate' ميزة جديدة، فإن اكتشاف الميزة القوي أمر بالغ الأهمية.

// اكتشاف الميزة ضروري للتحسين التدريجي.
let immediateMediationAvailable = false;
 
if (window.PublicKeyCredential && PublicKeyCredential.getClientCapabilities) {
    try {
        const capabilities = await PublicKeyCredential.getClientCapabilities();
        // تشير قدرة 'immediateGet' إلى دعم المتصفح.
        immediateMediationAvailable = capabilities.immediateGet === true;
    } catch (e) {
        console.error("Error getting client capabilities:", e);
    }
}

يجب تشغيل هذا الاستدعاء بواسطة إيماءة مستخدم، مثل النقر على زر.

// يجب أن تكون هذه الدالة هي معالج الحدث لزر "تسجيل الدخول" الأساسي.
async function handleSignInClick() {
    if (!immediateMediationAvailable) {
        // العودة إلى عرض نموذج تسجيل الدخول التقليدي إذا كانت الميزة غير مدعومة.
        showLegacyLoginForm();
        return;
    }
 
    try {
        // جلب تحدٍ جديد وعشوائي من خادمك لكل محاولة.
        const challenge = await fetchChallengeFromServer();
 
        const publicKeyCredentialRequestOptions = {
            challenge: challenge, // التحدي المقدم من الخادم بصيغة Uint8Array
            rpId: "example.com",
            // يجب أن تكون قائمة allowCredentials فارغة للوساطة الفورية
            // لحماية خصوصية المستخدم.
            allowCredentials: [],
        };
 
        const credential = await navigator.credentials.get({
            publicKey: publicKeyCredentialRequestOptions,
            // هذا هو المفتاح الذي يمكّن تدفق الوساطة الفورية.
            mediation: "immediate",
        });
 
        // إذا تم حل الوعد، أرسل بيانات الاعتماد إلى خادمك للتحقق منها.
        await verifyCredentialOnServer(credential);
    } catch (error) {
        // كتلة catch هي جزء حاسم من تدفق التحكم.
        handleAuthError(error);
    }
}

كتلة catch هي المكان الذي يتحقق فيه "ذكاء" زر تسجيل الدخول الموحد.

// التعامل مع NotAllowedError هو مفتاح آلية الرجوع.
function handleAuthError(error) {
    // تحقق من خاصية 'name' في DOMException.
    if (error.name === "NotAllowedError") {
        // هذه هي الإشارة المتوقعة لإظهار نموذج تسجيل الدخول التقليدي.
        console.log("No local passkey found. Showing legacy login form.");
        showLegacyLoginForm();
    } else {
        // هذا يعالج الأخطاء المحتملة الأخرى، مثل رفض المستخدم للمطالبة.
        console.error("Authentication error:", error);
    }
}

للحصول على تجربة أكثر سلاسة، يمكنك أن تطلب من المتصفح البحث عن كل من مفاتيح المرور وكلمات المرور المحفوظة في نفس الطلب عن طريق إضافة password: true.

// دمج مفاتيح المرور وكلمات المرور لتجربة تسجيل دخول موحدة حقًا.
const credential = await navigator.credentials.get({
    publicKey: publicKeyCredentialRequestOptions,
    password: true, // اطلب من المتصفح تضمين كلمات المرور المحفوظة.
    mediation: "immediate",
});
 
// سيكون كائن 'credential' المُرجع إما PublicKeyCredential
// أو PasswordCredential. يجب أن يتعامل منطق الخادم لديك مع كليهما.

1. طلبات WebAuthn المتزامنة: يمكن لطلب conditional معلق (غالبًا ما يبدأ عند تحميل الصفحة) أن يمنع طلب immediate جديد. فكر في استخدام AbortController لإلغاء أي طلبات معلقة قبل بدء طلب جديد.
2. قيود allowCredentials: يجب أن تكون مصفوفة allowCredentials فارغة. سيؤدي توفير معرفات بيانات الاعتماد إلى فشل الاستدعاء. هذا إجراء وقائي حاسم للخصوصية لمنع المواقع من التحقق من وجود مستخدمين محددين ومعروفين.
3. متطلب إيماءة المستخدم: يجب بدء الاستدعاء من إيماءة مستخدم (مثل حدث 'click'). سيتم حظر استدعائه برمجيًا عند تحميل الصفحة بواسطة المتصفحات كإجراء لحماية الخصوصية.

تم تصميم mediation: 'immediate' مع فهم واضح لمقايضات الأمان والخصوصية الخاصة بها.

المقايضة الأساسية هي "تسريب بت واحد". من خلال توقيت حل الوعد، يمكن لـ الطرف المعتمد استنتاج معلومة واحدة: ما إذا كان الوعد قد تم رفضه على الفور (لا توجد بيانات اعتماد محلية) أو تم تأخيره (تم عرض مطالبة واجهة المستخدم لأنه تم العثور على بيانات اعتماد محلية). الغرض من هذا التسريب هو تمكين تجربة مستخدم أفضل.

توقع المصممون إمكانية إساءة الاستخدام (مثل تتبع المستخدم) وقاموا ببناء العديد من الضمانات غير القابلة للتفاوض:

1. إيماءة المستخدم الإلزامية: يجب تشغيل استدعاء API بواسطة إجراء مستخدم مثل النقر. هذا يمنع الموقع من البحث بصمت عن الحسابات عند تحميل الصفحة ويجعل البصمة الرقمية على نطاق واسع غير عملية.
2. معطل في الوضع الخاص/التصفح المتخفي: الميزة غير مسموح بها في أوضاع التصفح الخاصة لمنع ربط نشاط المستخدم بين الجلسات العادية والخاصة.
3. قائمة allowCredentials محظورة: يجب أن تكون مصفوفة allowCredentials فارغة. هذا يمنع الموقع من استخدام هذه الميزة للتحقق مما إذا كان مستخدم معين معروف يزور الموقع.
4. سياق الطرف الأول فقط: الميزة غير مسموح بها في سياقات الطرف الثالث (مثل iframe من أصل آخر) لمنع التتبع عبر المواقع.

تضمن هذه الإجراءات التخفيفية أن ضمانات الأمان الأساسية لـ WebAuthn تظل كما هي. تظل عملية المصادقة نفسها دون تغيير ومقاومة لـ التصيد الاحتيالي.

mediation: 'immediate' هي ميزة متقدمة من مواصفات WebAuthn المستوى 3، وإطلاقها مستمر. اعتبارًا من منتصف عام 2025، تعد استراتيجية التحسين التدريجي ضرورية.

بينما توفر mediation: 'immediate' أداة رائعة ومنخفضة المستوى لزر تسجيل دخول أكثر ذكاءً، من المهم تمييزها عن حل أوسع لـ "Passkey Intelligence"، مثل الذي تقدمه Corbado. كلاهما يهدف إلى حل مفارقة مفاتيح المرور وزيادة التبني، لكنهما يفعلان ذلك بطرق مختلفة.

Passkey Intelligence يذهب خطوة أبعد من خلال جمع وتقييم البيانات بمرور الوقت. يسمح هذا بتدخلات أكثر تطورًا وفي الوقت المناسب للمستخدم. على سبيل المثال، يمكن لـ Passkey Intelligence الخلفي اكتشاف:

• مستخدم يصادق بنجاح بكلمة مرور على جهاز جديد قادر على استخدام مفاتيح المرور ويطالبه بإضافة مفتاح مرور للمرة القادمة.
• مستخدم يكمل تسجيل دخول "هجين" عبر الأجهزة ويقترح على الفور تسجيل الجهاز الجديد.
• مستخدم يفشل في تسجيل الدخول على جهاز جديد ويقدم إنشاء مفتاح مرور كخيار استرداد أو إعداد (إصلاح تلقائي).

هذا النهج القائم على البيانات مستقل عن دعم المتصفح لـ mediation: 'immediate'، مما يعني أنه يمكن أن يوفر تدفق تسجيل دخول أكثر ذكاءً لجميع المستخدمين، الآن.

أفضل ما في العالمين

في النهاية، هذان النهجان ليسا متعارضين؛ بل هما متكاملان. الحل المثالي يجمعهما:

1. استخدم خدمة Passkey Intelligence كعقل لعملية تسجيل الدخول الخاصة بك.
2. يمكن للخدمة بعد ذلك استخدام mediation: 'immediate' كإحدى إشاراتها على المتصفحات المدعومة لإجراء فحص أولي سريع.
3. بناءً على النتيجة - أو عدم دعم الميزة - يمكن لخدمة الذكاء بعد ذلك استخدام بياناتها التاريخية الأكثر ثراءً لتنسيق البديل المثالي، سواء كان ذلك عرض حقل كلمة مرور أو تقديم مطالبة بإنشاء مفتاح مرور في الوقت المناسب.

من خلال الجمع بين السرعة الأصلية لـ mediation: 'immediate' والرؤى العميقة لـ Passkey Intelligence الخلفي، يمكنك توفير تجربة تسجيل الدخول الأكثر سلاسة وتكيفًا وفعالية ممكنة، وتوجيه كل مستخدم بلطف نحو مستقبل بدون كلمات مرور.

تعد الوساطة الفورية ترقية رائعة لتجربة تسجيل الدخول. إنها توفر الذكاء اللازم لإزالة نقاط الاحتكاك والارتباك الشائعة للمستخدمين أثناء الانتقال إلى مفاتيح المرور.

• تقلل من ارتباك المستخدم: من خلال تمكين زر "تسجيل الدخول" الموحد، تزيل الوساطة immediate العبء المعرفي عن المستخدم. لم يعد عليهم تذكر طريقة المصادقة التي أعدوها أو الاختيار من قائمة خيارات مزدحمة. تصبح عملية تسجيل الدخول أبسط وأكثر سهولة.
• تمنع التخلي عن تسجيل الدخول بمفاتيح المرور: أحد الأسباب الشائعة التي تجعل المستخدمين يتخلون عن تسجيل الدخول بمفتاح المرور هو الظهور غير المتوقع لرمز QR لتدفق عبر الأجهزة. نظرًا لأن mediation: 'immediate' تبحث فقط عن بيانات الاعتماد المحلية، فإنها تتجنب هذه الحالة المربكة تمامًا. بدلاً من أن يتخلى المستخدم عن التدفق، يتلقى التطبيق إشارة واضحة (NotAllowedError) للرجوع بسلاسة إلى طريقة أخرى، مما يؤدي إلى رحلة أكثر سلاسة.
• تخلق تدفقًا سلسًا وذكيًا: الفائدة الأساسية هي تجربة تسجيل دخول ذكية. يمكن للتطبيق أن يسأل المتصفح عما إذا كان تسجيل الدخول بمفتاح المرور السلس ممكنًا قبل الالتزام بواجهة مستخدم. يضمن نهج "اسأل، لا تأمر" هذا أن يرى المستخدمون فقط المطالبات ذات الصلة بهم. إنه يجعل تسجيل الدخول يبدو ذكيًا ومتكيفًا، مما يعزز راحة مفاتيح المرور ويشجع على استخدامها المستمر.

الوساطة الفورية هي ميزة جديدة في WebAuthn تحل مشكلة تجربة تسجيل الدخول المجزأة خلال فترة الانتقال إلى مفاتيح المرور. إنها تمكن من إنشاء زر "تسجيل الدخول" واحد وذكي يتكيف مع سياق المستخدم، مما يزيل الارتباك والاحتكاك. في حين أنها تقدم مقايضة خصوصية محسوبة، إلا أنها تتضمن ضمانات قوية للتخفيف من المخاطر دون المساس بالأمان الأساسي لـ WebAuthn.

بالنسبة للمطورين، فإن المسار إلى الأمام هو التحسين التدريجي. قم ببناء تجربة أساسية قوية، وأضف وساطة immediate فوقها للمتصفحات المدعومة. يعد تبني هذه الميزة خطوة استراتيجية لتسريع تبني مفاتيح المرور، وتعزيز الأمان، وخفض التكاليف التشغيلية، وتحسين التحويل.

يمكن أن يكون تنفيذ تدفقات المصادقة المتقدمة هذه معقدًا. منصة Corbado لمفاتيح المرور للمؤسسات تتكفل بهذا التعقيد. تتعامل بنيتنا التحتية مع تنسيق التدفق الأمثل - بما في ذلك الوساطة الشرطية وimmediate مما يسمح لفريقك بنشر تجربة مصادقة حديثة وسلسة بثقة.