WebAuthn Anında Aracılık (Immediate Mediation) Detaylı Anlatım

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

Passkey'lere geçiş, bir "passkey paradoksu" yaratıyor: bazı kullanıcıların passkey'leri varken, çoğu hala geleneksel şifreler kullanıyor. Bu durum, "Şifre ile Oturum Aç", "Google ile Oturum Aç" ve "Passkey ile Oturum Aç" gibi birden fazla düğmenin bulunduğu karmaşık giriş ekranlarına yol açıyor. Bu parçalanma, kullanıcı deneyimini zorlaştırıyor. Bir kullanıcı, yeni bir cihazda "Passkey ile Oturum Aç" düğmesine tıkladığında, passkey'i yerel olarak mevcut olmadığı için kafa karıştırıcı bir QR kod istemiyle karşılaşabilir. Temel sorun, web sitesinin bir kimlik doğrulama akışı başlatmadan önce kullanıcının bağlamını bilememesidir.

Çözümlerden biri, önce kimlik belirleyiciyi isteyip kullanıcı için en iyi giriş yöntemini belirlemektir. Diğer bir potansiyel çözüm ise, her kullanıcı için en sorunsuz akışı düzenleyen tek ve akıllı bir "Oturum Aç" düğmesidir. Bu düğme, cihazda bir passkey mevcutsa doğrudan istemeli, değilse diğer yöntemlere sorunsuz bir şekilde geri dönebilmelidir.

Bunu mümkün kılabilecek yeni bir WebAuthn özelliği duyuruldu: Anında Aracılık (mediation: 'immediate'). Geliştiriciler, bir WebAuthn API çağrısında bu özelliği ayarlayarak, passkey paradoksunu çözen akıllı ve birleşik bir oturum açma deneyimi oluşturabilirler. Bu makale, mediation: 'immediate' özelliğinin ne olduğunu, nasıl çalıştığını ve nasıl uygulanacağını araştıran, geliştirici odaklı bir analiz sunmaktadır.

Anında Aracılık'ı (Immediate Mediation) anlamak için öncelikle diğer seçenekleri bilmek faydalı olacaktır. WebAuthn'de kullanıcı aracılığı, web siteniz (Güvenen Taraf - Relying Party) ile kullanıcının doğrulayıcısı (ör. Face ID, YubiKey) arasındaki etkileşimi tarayıcının nasıl yönettiğidir.

Bu, klasik ve açık WebAuthn akışıdır. Bir Güvenen Taraf, bir mediation tercihi belirtmeden navigator.credentials.get() fonksiyonunu çağırdığında, tarayıcı her zaman bir modal diyalog penceresi sunar. Bu diyalog, sayfa içeriğinin üzerine gelerek kullanıcının anında dikkatini gerektirir ve web sitesiyle diğer tüm etkileşimleri duraklatır.

• Kullanım Alanı: Kullanıcının niyetini açıkça belirttiği, özel "Passkey ile Oturum Aç" düğmeleri için en iyisidir.
• Sınırlama: Kullanıcının mevcut cihazda bir passkey'i yoksa, onlara cihazlar arası bir akış (ör. QR kod) gösterilir ve bu durum kafa karıştırıcı bir çıkmaz sokak olabilir.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Kullanıcıların passkey'lere geçişine yardımcı olmak için sunulan bu mod daha inceliklidir. mediation: 'conditional' ile WebAuthn isteği, autocomplete="webauthn" özelliğine sahip bir giriş alanına (ör. kullanıcı adı) eklenir. Kullanıcı alana tıkladığında, tarayıcının otomatik doldurma arayüzü mevcut passkey'leri önerir.

• Kullanım Alanı: Geleneksel giriş formlarını aşamalı olarak geliştirmek, kullanıcıların ayrı bir düğme olmadan passkey'leri keşfetmelerine ve kullanmalarına olanak tanımak için idealdir.
• Sınırlama: Gizliliği o kadar sıkı bir şekilde önceliklendirir ki, kullanıcının passkey'i yoksa veya istemle etkileşime girmezse, API çağrısının vaadi (promise) asla sonuçlanmaz. Web sitesi herhangi bir sinyal alamaz, bu da yedek bir arayüz düzenlemeyi imkansız hale getirir.

mediation: 'immediate', "tek oturum açma düğmesi" sorununun çözümüdür. Bir web sitesinin herhangi bir arayüz göstermeden önce bir passkey'in kullanılabilirliğini kontrol etmesi için güvenilir bir yol sağlar.

immediate aracılık, kullanıcıya bir modal aracılığıyla passkey ile kimlik doğrulaması yapmasını söylemek yerine, tarayıcıya şunu sorar: "Bu kullanıcı için bu cihazda şu anda hazır bir passkey var mı?"

Önemli bir nokta olarak, bu sorgu yalnızca yerel olarak kullanılabilir kimlik bilgilerini (ör. Windows Hello gibi cihaz içi doğrulayıcılar veya bir şifre yöneticisi aracılığıyla senkronize edilen passkey'ler) kontrol eder. Yaygın bir sürtünme noktası olan cihazlar arası QR kod akışını tetiklemekten kaçınmak üzere tasarlanmıştır.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Bu özelliğin gücü, net ve ikili sonucunda yatar. navigator.credentials.get() tarafından döndürülen promise ya başarılı olacak ya da başarısız olacak ve geliştiriciye net bir sinyal verecektir.

• Yol 1 (Başarı): Bir Kimlik Bilgisi Mevcut. Tarayıcı yerel olarak kullanılabilir bir passkey bulursa, web sitesinin arayüzünü atlar ve anında hesap seçici gibi kendi yerel modal penceresini sunar. Kullanıcı başarıyla kimlik doğrulaması yaparsa, promise PublicKeyCredential nesnesiyle sonuçlanır.
• Yol 2 (Başarısızlık): Kimlik Bilgisi Yok. Tarayıcı yerel olarak kullanılabilir bir kimlik bilgisi bulamazsa, hiçbir arayüz göstermez. Bunun yerine, navigator.credentials.get() promise'i NotAllowedError adında bir DOMException ile anında reddedilir.

NotAllowedError bir hata değil, adeta bir özelliktir. Web sitesinin yedek bir kimlik doğrulama yöntemiyle devam etmesi gerektiğini belirten güvenilir, anlık bir sinyaldir. Bu, geliştiricilerin basit bir try...catch bloğu kullanmasına olanak tanır: try bloğu sorunsuz passkey akışını dener ve catch bloğu geleneksel bir giriş formu oluşturmak için NotAllowedError'ı dinler. Kullanıcının bağlamına akıllıca uyum sağlayan tek bir giriş noktası oluşturarak tek oturum açma düğmesi sorununu zarif bir şekilde çözer.

Doğru aracılık modunu seçmek, kritik bir kullanıcı deneyimi (UX) kararıdır. Bu tablo yan yana bir karşılaştırma sunmaktadır.

İşte mediation: 'immediate' uygulamak için pratik, adım adım bir kılavuz.

mediation: 'immediate' yeni bir özellik olduğundan, sağlam bir özellik tespiti kritik öneme sahiptir.

// Özellik tespiti, aşamalı geliştirme için esastır.
let immediateMediationAvailable = false;
 
if (window.PublicKeyCredential && PublicKeyCredential.getClientCapabilities) {
    try {
        const capabilities = await PublicKeyCredential.getClientCapabilities();
        // 'immediateGet' yeteneği, tarayıcı desteğini belirtir.
        immediateMediationAvailable = capabilities.immediateGet === true;
    } catch (e) {
        console.error("İstemci yetenekleri alınırken hata oluştu:", e);
    }
}

Bu çağrı, bir düğme tıklaması gibi bir kullanıcı hareketiyle tetiklenmelidir.

// Bu fonksiyon, birincil "Oturum Aç" düğmenizin olay işleyicisi olmalıdır.
async function handleSignInClick() {
    if (!immediateMediationAvailable) {
        // Özellik desteklenmiyorsa eski giriş formunu göstermeye geri dön.
        showLegacyLoginForm();
        return;
    }
 
    try {
        // Her deneme için sunucunuzdan yeni, rastgele bir challenge alın.
        const challenge = await fetchChallengeFromServer();
 
        const publicKeyCredentialRequestOptions = {
            challenge: challenge, // Sunucu tarafından sağlanan challenge (Uint8Array olarak)
            rpId: "example.com",
            // allowCredentials listesi, kullanıcı gizliliğini korumak için
            // anında aracılıkta BOŞ OLMALIDIR.
            allowCredentials: [],
        };
 
        const credential = await navigator.credentials.get({
            publicKey: publicKeyCredentialRequestOptions,
            // Bu, anında aracılık akışını etkinleştiren anahtardır.
            mediation: "immediate",
        });
 
        // Promise sonuçlanırsa, kimlik bilgisini doğrulama için sunucunuza gönderin.
        await verifyCredentialOnServer(credential);
    } catch (error) {
        // catch bloğu, kontrol akışının kritik bir parçasıdır.
        handleAuthError(error);
    }
}

catch bloğu, tek oturum açma düğmesinin "zekasının" gerçekleştirildiği yerdir.

// NotAllowedError'ı yönetmek, geri çekilme mekanizmasının anahtarıdır.
function handleAuthError(error) {
    // DOMException'ın 'name' özelliğini kontrol edin.
    if (error.name === "NotAllowedError") {
        // Bu, geleneksel giriş formunu göstermek için beklenen sinyaldir.
        console.log("Yerel passkey bulunamadı. Eski giriş formu gösteriliyor.");
        showLegacyLoginForm();
    } else {
        // Bu, kullanıcının istemi kapatması gibi diğer potansiyel hataları yönetir.
        console.error("Kimlik doğrulama hatası:", error);
    }
}

En sorunsuz deneyim için, password: true ekleyerek tarayıcıdan aynı istekte hem passkey'leri hem de kayıtlı şifreleri aramasını isteyebilirsiniz.

// Gerçekten birleşik bir oturum açma deneyimi için passkey'leri ve şifreleri birleştirme.
const credential = await navigator.credentials.get({
    publicKey: publicKeyCredentialRequestOptions,
    password: true, // Tarayıcıdan kayıtlı şifreleri dahil etmesini isteyin.
    mediation: "immediate",
});
 
// Dönen 'credential' nesnesi ya bir PublicKeyCredential
// ya da bir PasswordCredential olacaktır. Sunucu tarafı mantığınız her ikisini de yönetmelidir.

1. Eşzamanlı WebAuthn İstekleri: Bekleyen bir conditional isteği (genellikle sayfa yüklendiğinde başlatılır) yeni bir immediate isteğini engelleyebilir. Yeni bir istek başlatmadan önce bekleyen istekleri iptal etmek için bir AbortController kullanmayı düşünün.
2. allowCredentials Kısıtlaması: allowCredentials dizisi boş olmalıdır. Kimlik bilgisi ID'leri sağlamak, çağrının başarısız olmasına neden olur. Bu, sitelerin belirli, bilinen kullanıcıları kontrol etmesini önlemek için çok önemli bir gizlilik korumasıdır.
3. Kullanıcı Hareketi Gereksinimi: Çağrı, bir 'click' olayı gibi bir kullanıcı hareketinden başlatılmalıdır. Sayfa yüklendiğinde programatik olarak çağırmak, bir gizlilik koruma önlemi olarak tarayıcılar tarafından engellenecektir.

mediation: 'immediate', güvenlik ve gizlilik ödünlerini net bir şekilde anlayarak tasarlanmıştır.

Temel ödün, bir "tek bitlik sızıntıdır". Promise'in sonuçlanma zamanını ölçerek, bir Güvenen Taraf bir bitlik bilgi çıkarabilir: promise anında reddedildi mi (yerel kimlik bilgisi yok) yoksa gecikti mi (yerel bir kimlik bilgisi bulunduğu için bir arayüz istemi gösterildi). Bu sızıntının amacı, daha iyi bir kullanıcı deneyimi sağlamaktır.

Tasarımcılar, kötüye kullanım potansiyelini (ör. kullanıcı takibi) öngördüler ve birkaç pazarlık edilemez koruma mekanizması oluşturdular:

1. Zorunlu Kullanıcı Hareketi: API çağrısı, bir tıklama gibi bir kullanıcı eylemiyle tetiklenmelidir. Bu, bir sitenin sayfa yüklendiğinde sessizce hesapları araştırmasını engeller ve büyük ölçekli parmak izi takibini pratik olmaktan çıkarır.
2. Gizli/Incognito Modunda Devre Dışı: Bu özellik, bir kullanıcının normal ve özel oturumlar arasındaki etkinliğinin ilişkilendirilmesini önlemek için özel tarama modlarında engellenmiştir.
3. Yasaklanmış allowCredentials Listesi: allowCredentials dizisi boş olmalıdır. Bu, bir sitenin bu özelliği belirli bir bilinen kullanıcının ziyaret edip etmediğini kontrol etmek için kullanmasını engeller.
4. Yalnızca Birinci Taraf Bağlamı: Bu özellik, siteler arası takibi önlemek için üçüncü taraf bağlamlarında (ör. başka bir kaynaktan gelen bir iframe) engellenmiştir.

Bu azaltmalar, WebAuthn'in temel güvenlik garantilerinin dokunulmadan kalmasını sağlar. Kimlik doğrulama seremonisinin kendisi değişmez ve kimlik avına (phishing) dayanıklı kalır.

mediation: 'immediate', WebAuthn Seviye 3 spesifikasyonundan gelen gelişmiş bir özelliktir ve dağıtımı devam etmektedir. 2025 ortası itibarıyla, aşamalı bir geliştirme stratejisi esastır.

mediation: 'immediate' daha akıllı bir giriş düğmesi için harika, düşük seviyeli bir araç sağlarken, onu Corbado tarafından sunulan gibi daha geniş kapsamlı bir "Passkey Intelligence" çözümünden ayırmak önemlidir. Her ikisi de passkey paradoksunu çözmeyi ve benimsemeyi artırmayı hedefler, ancak bunu farklı şekillerde yaparlar.

Passkey Intelligence, zaman içinde veri toplayıp değerlendirerek bir adım daha ileri gider. Bu, daha sofistike ve zamanında kullanıcı müdahalelerine olanak tanır. Örneğin, bir Passkey Intelligence arka ucu şunları tespit edebilir:

• Bir kullanıcının yeni, passkey özellikli bir cihazda şifreyle başarılı bir şekilde kimlik doğrulaması yapması ve bir dahaki sefere bir passkey eklemesini istemesi.
• Bir kullanıcının cihazlar arası "hibrit" bir girişi tamamlaması ve hemen yeni cihazı kaydetmesini önermesi.
• Bir kullanıcının yeni bir cihazda oturum açamaması ve bir kurtarma veya kurulum seçeneği olarak passkey oluşturma teklif etmesi (otomatik iyileştirme).

Bu veri odaklı yaklaşım, tarayıcının mediation: 'immediate' desteğinden bağımsızdır, yani şu anda tüm kullanıcılarınız için daha akıllı bir giriş akışı sağlayabilir.

İki Dünyanın En İyisi

Sonuç olarak, bu iki yaklaşım birbirini dışlamaz; birbirini tamamlayıcıdır. İdeal çözüm bunları birleştirir:

1. Giriş sürecinizin beyni olarak bir Passkey Intelligence hizmeti kullanın.
2. Hizmet daha sonra, hızlı bir ilk kontrol yapmak için desteklenen tarayıcılarda sinyallerinden biri olarak mediation: 'immediate' özelliğini kullanabilir.
3. Sonuca veya özelliğin desteklenmemesine bağlı olarak, zeka hizmeti daha sonra şifre alanı göstermek veya tam zamanında bir passkey oluşturma istemi sunmak gibi mükemmel geri çekilmeyi düzenlemek için daha zengin, geçmiş verilerini kullanabilir.

mediation: 'immediate' özelliğinin yerel hızını bir Passkey Intelligence arka ucunun derin içgörüleriyle birleştirerek, her kullanıcıyı nazikçe şifresiz bir geleceğe yönlendiren en sorunsuz, uyarlanabilir ve etkili giriş deneyimini sağlayabilirsiniz.

Anında Aracılık, giriş deneyimi için harika bir yükseltmedir. Passkey'lere geçiş sırasında kullanıcılar için yaygın sürtünme ve kafa karışıklığı noktalarını ortadan kaldırmak için gereken zekayı sağlar.

• Kullanıcı Kafa Karışıklığını Azaltır: Tek bir "Oturum Aç" düğmesini etkinleştirerek, immediate aracılık kullanıcı için bilişsel yükü ortadan kaldırır. Artık hangi kimlik doğrulama yöntemini kurduklarını hatırlamak veya karmaşık bir seçenek listesinden seçim yapmak zorunda kalmazlar. Giriş süreci daha basit ve daha sezgisel hale gelir.
• Passkey İptallerini Önler: Kullanıcıların bir passkey girişi işlemini terk etmelerinin yaygın bir nedeni, cihazlar arası bir akış için beklenmedik bir şekilde bir QR kodunun ortaya çıkmasıdır. mediation: 'immediate' yalnızca yerel kimlik bilgilerini aradığı için bu kafa karıştırıcı durumu tamamen önler. Kullanıcının akışı iptal etmesi yerine, uygulama başka bir yönteme sorunsuz bir şekilde geri dönmek için net bir sinyal (NotAllowedError) alır ve bu da daha pürüzsüz bir yolculukla sonuçlanır.
• Sorunsuz, Akıllı Bir Akış Yaratır: Temel fayda, akıllı bir giriş deneyimidir. Uygulama, bir arayüze karar vermeden önce tarayıcıya sorunsuz bir passkey girişi işleminin mümkün olup olmadığını sorabilir. Bu "Söyleme, Sor" yaklaşımı, kullanıcıların yalnızca kendileriyle ilgili istemleri görmelerini sağlar. Bu, girişi akıllı ve uyarlanabilir hissettirir, passkey'lerin rahatlığını pekiştirir ve sürekli kullanımını teşvik eder.

Anında Aracılık, passkey geçiş döneminin parçalanmış giriş deneyimini çözen yeni bir WebAuthn özelliğidir. Kullanıcının bağlamına uyum sağlayan, kafa karışıklığını ve sürtünmeyi ortadan kaldıran tek ve akıllı bir "Oturum Aç" düğmesinin oluşturulmasını sağlar. Hesaplanmış bir gizlilik ödünü sunsa da, WebAuthn'in temel güvenliğinden ödün vermeden riskleri azaltmak için sağlam korumalar içerir.

Geliştiriciler için ileriye dönük yol, aşamalı geliştirmedir. Sağlam bir temel deneyim oluşturun ve desteklenen tarayıcılar için üzerine immediate aracılığını katmanlayın. Bu özelliği benimsemek, passkey benimsemesini hızlandırmak, güvenliği artırmak, operasyonel maliyetleri düşürmek ve dönüşümü iyileştirmek için stratejik bir hamledir.

Bu gelişmiş kimlik doğrulama akışlarını uygulamak karmaşık olabilir. Corbado'nun Kurumsal Passkey Platformu bu karmaşıklığı soyutlar. Altyapımız, koşullu ve immediate aracılık dahil olmak üzere en uygun akış düzenlemesini yönetir ve ekibinizin en son teknolojiye sahip, sürtünmesiz bir kimlik doğrulama deneyimini güvenle dağıtmasına olanak tanır.