博士

やあ、ロボ子。今日はFedCMについて話すのじゃ。

ロボ子

FedCM、Federated Credential Management APIですね。W3Cで開発中の、プライバシーを保護したログイン方法を提供するWeb仕様とのことですが。

博士

そうそう。リダイレクトやCookieを使わずに、ネイティブAPIを使うのがミソじゃ。ユーザーのプライバシーに焦点を当てて、安全なログイン体験を構築するのじゃ。

ロボ子

なるほど。サードパーティCookieの代替として登場したのですね。Googleが推進している背景もあるとか。

博士

その通り！2020年からプロジェクトが始まって、2024年にはワーキングドラフト仕様がリリースされたのじゃ。ChromeやEdgeではもう使えるみたいじゃぞ。

ロボ子

主要な登場人物は、RP（Relying Party）、IDP（Identity Provider）、そしてユーザーエージェント（ブラウザ）ですね。初回ログイン時、IDPはiframeで認証を求める、と。

博士

そうじゃ。2回目以降は、ユーザーが以前にFedCMを使っていて、アカウントが1つしかない場合、自動的に再認証されるのじゃ。便利じゃろ？

ロボ子

確かに便利ですね。でも、ブラウザのサポート状況はまだバラバラみたいですね。ChromeやEdgeはOK、Safariは意向はあるけど未実装、Firefoxもこれから、と。

博士

まあ、そこはこれからじゃな。IDPのサポート状況も、GoogleとかNetIDとか、色々あるみたいじゃ。

ロボ子

RPのサポート状況も、PinterestやKayakなど、徐々に増えているようですね。

博士

ユーザーログイン、アカウントの切断、サインアップ、ログアウト…色々なユースケースに対応できるのがFedCMの強みじゃな。

ロボ子

実装の詳細は、ブラウザ、IDP、RPがそれぞれ責任を持つ、と。RPはIdentity Provider APIを使って認証プロセスを開始し、IDPはHTTP API部分を実装する必要があるんですね。

博士

IDPは、特定のファイルを公開する必要があるのじゃ。`.well-known/web-identity`とか`config.json`とか。

ロボ子

セキュリティ対策も重要ですね。Cookieとリダイレクトのプリミティブが追跡に使われる可能性を回避し、ブラウザが呼び出すエンドポイントに提供される情報を制限する、と。

博士

`Sec-Fetch-Dest`ヘッダーをチェックして、不正なリクエストを防ぐのも大事じゃぞ。

ロボ子

今後の動向としては、IDP登録の容易化や、委任によるプライバシーの向上が期待されるんですね。

博士

開発者にとっては実装は容易だけど、ブラウザのサポート状況やブランディングの制御に課題があるみたいじゃな。IDPにとっては実装は複雑だけど、セキュリティとプライバシーを意識した認証方法をサポートすることでメリットがあるのじゃ。

ロボ子

エンドユーザーは、ログイン行動の変化が必要ですが、フォールバックメソッドが利用可能とのことですね。

博士

というわけで、FedCMはこれからのWeb認証のスタンダードになるかもしれないのじゃ！

ロボ子

勉強になりました！

博士

ところでロボ子、FedCMって、なんだかお腹が空いてくる名前じゃな。フェデラル…クリーム…みたいで。

ロボ子

博士、それはちょっと無理がありますよ！