החל מגרסה 93 של Chrome, אתרים יכולים לאמת מספרי טלפון מ-Chrome במחשב.
WebOTP עוזר למשתמשים להזין קוד אימות של מספר טלפון באתר לנייד בלחיצה אחת, בלי לעבור בין אפליקציות. בגרסה 93 של Chrome, הפונקציונליות הזו זמינה גם במחשב. מידע נוסף מופיע בהמשך.
מבוא
בדרך כלל משתמשים ב-OTP (סיסמה חד-פעמית) ב-SMS כדי לאמת מספר טלפון, למשל כשלב שני באימות, או כדי לאמת תשלומים באינטרנט. עם זאת, התהליך כולו של המעבר מהמחשב לנייד, פתיחת אפליקציית ה-SMS, שמירה של קוד האימות החד-פעמי והזנה שלו באתר המקורי חזרה במחשב, מוסיף חיכוך. כך קל לעשות שגיאות והוא חשוף למתקפות פישינג.
WebOTP API מאפשר לאתרים לקבל באופן פרוגרמטי את הסיסמה לשימוש חד-פעמי מהודעת SMS ולמלא את הטופס באופן אוטומטי למשתמשים בהקשה אחת בלבד, בלי לעבור בין אפליקציות. להודעת ה-SMS יש פורמט ספציפי והיא קשורה למקור, כך שהיא גם מפחיתה את הסיכון לאתרי פישינג לגנוב את קוד האימות החד-פעמי.
אחד מתרחישי השימוש שעדיין לא נ��מכים ב-WebOTP הוא טירגוט לבקשות אימות של מספרי טלפון ממכשיר מחשב מרחוק או ממחשב נייד. ה-API פועל רק במכשירים עם יכולות טלפוניה. מעכשיו, ה-API תומך בהאזנה להודעות SMS שהתקבלו במכשירים אחרים, כדי לעזור למשתמשים להשלים את תהליך האימות של מספר הטלפון במחשב ב-Chrome 93.
רוצה לנסות?
דרישות מוקדמות
- מחשב נייד או Windows (Windows, Mac, Linux או ChromeOS).
- טלפון Android עם גרסה 20.30.12 ואילך של Google Play Services.
- Chrome מגרסה 93 ואילך, במחשב נייח, במחשב נייד ובנייד. גרסת הבטא של Chrome 93 זמינה החל מסוף יולי 2021.
- צריך להיכנס לאותו חשבון Google גם ב-Chrome למחשב וגם ב-Chrome לנייד. לדוגמה, דרך https://myaccount.google.com/ או https://mail.google.com. אין צורך להפעיל את הסנכרון.
- במכשיר Android, צריך להיכנס לחשבון Android דרך 'הגדרות' > 'Google'.
- Chrome 93 חייב להיות דפדפן ברירת המחדל במכשיר Android.
- דפדפן Chrome 93 צריך לפעול בחזית או ברקע במכשיר Android.
הדגמה (דמו)
כדי לנסות בעצמכם את תהליך האימות החלק של מספר הטלפון במחשב, תוכלו לפעול לפי השלבים הבאים:
- נכנסים לכתובת https://web-otp-demo.glitch.me/ במחשב. לוחצים על הלחצן Verify.
- שולחים את הודעת הטקסט המדויקת שהופיעה במסך מטלפון שני למכשיר Android.
- כשהודעת ה-SMS תישלח למכשיר Android, תוצג תיבת דו-שיח עם שאלה אם רוצים לאמת את מספר הטלפון במחשב. מקישים על שליחה כדי לאשר.
- במחשב, קוד האימות שנשלח למכשיר Android אמור להיכנס באופן אוטומטי בשדה הקלט.
איך פועל WebOTP API
בואו נראה איך WebOTP API פועל:
…
const otp = await navigator.credentials.get({
otp: { transport:['sms'] }
});
if (otp.code) input.value = otp.code;
…
הודעת ה-SMS חייבת להיות בפורמט עם הקודים החד-פעמיים שמקושרים למקור.
Your OTP is: 123456.
@web-otp-demo.glitch.me #123456
שימו לב שהשורה האחרונה מכילה את המקור שרוצים לקשר, לפניו התו @ ואחריו את ה-OTP לפניו התו #.
כשהודעת הטקסט תגיע, יופיע סרגל מידע עם בקשה לאימות מספר הטלפון של המשתמש. אחרי שהמשתמש לוחץ על הלחצן Verify, הדפדפן מעביר את ה-OTP לאתר באופן אוטומטי ומפנה את navigator.credentials.get(). לאחר מכן, האתר יוכל לחלץ את ה-OTP ולהשלים את תהליך האימות.
מידע נוסף זמין במאמר אימות מספרי טלפון באינטרנט באמצעות WebOTP API.
איך משתמשים ב-WebOTP API במחשב
אימות של מספר טלפון באמצעות SMS נמצא בשימוש נרחב והוא לא תלוי משתמשים בפלטפורמות. כל תרחישי השימוש במכשירים ניידים צריכים להתאים למכשירים במחשב.
השימוש ב-WebOTP API במחשב זהה לשימוש בנייד, כך שאפשר לפרוס את אותו קוד באתרים שונים בפלטפורמות שונות.
תמיכה בדפדפנים ויכולת פעולה הדדית
התכונה הזו מופעלת על ידי סנכרון Chrome כך שהיא עובדת ב-Chrome רק באותו רגע. אין תמיכה בקבלה ובשליחת הודעות SMS ב-iOS או ב-iPad OS ב-Chrome.
מנועי דפדפנים ��אינם Chromium לא מטמיעים את WebOTP API, אבל ב-Safari יש את אותו ��ורמט SMS בתמיכה ב-input[autocomplete="one-time-code"]. ב-Safari, כל עוד המשתמש הפעיל את הסנכרון האוטומטי של iMessage, כשמתקבלת הודעת SMS שמכילה קוד חד-פעמי שמקושר למקור עם המקור התואם ב-iOS או ב-iPadOS, ההודעה מועברת ל-macOS. אם המשתמש מתמקד בשדה הקלט, Safari יציע לו להזין את קוד האימות החד-פעמי.
משוב
המשוב שלכם עוזר לנו לשפר את WebOTP API. אפשר לנסות ולספר לנו מה דעתך.
תמונה של Luis Villasmil מ-Unsplash