¿Por qué las WebViews en aplicaciones móviles son un desafío para las passkeys?

¿Por qué las WebViews en aplicaciones móviles son un desafío para las passkeys?#

Las WebViews, que solemos usar en aplicaciones móviles para mostrar contenido web, presentan desafíos únicos al implementar passkeys. Estos retos se deben a la compatibilidad limitada con las funciones de WebAuthn en muchos entornos de WebView.

Principales desafíos de las WebViews para las passkeys#

1. Soporte limitado para WebAuthn#

• Muchas WebViews no son totalmente compatibles con las API de WebAuthn, lo que dificulta habilitar la funcionalidad de las passkeys.
• Los navegadores nativos como Chrome o Safari suelen estar más preparados para las passkeys que las WebViews. Como alternativa, es posible hacer una implementación nativa de las passkeys en la aplicación de iOS o Android.

2. Implementaciones inconsistentes#

Las capacidades de la WebView varían según la plataforma y la versión:

• WKWebView en iOS ofrece un mejor soporte, pero aún puede carecer de funciones clave de WebAuthn.
• Las implementaciones de WebView en Android suelen ser menos consistentes y pueden requerir configuraciones personalizadas.

3. Restricciones de seguridad#

• Las WebViews a menudo tienen entornos restringidos que limitan el acceso al autenticador local, como Face ID, Touch ID o su equivalente biométrico en Android.
• Esto puede impedir que la creación o el uso de la passkey dentro de la aplicación sea una experiencia fluida.

4. Problemas de experiencia de usuario#

Si las passkeys no funcionan dentro de las WebViews, es posible que los usuarios tengan que cambiar a un navegador o aplicación externa para autenticarse, lo que interrumpe el flujo de inicio de sesión. Por lo general, la mejor experiencia de usuario con passkeys se logra al usar la implementación nativa en el framework de desarrollo correspondiente para iOS o Android (por ejemplo, Kotlin o Swift).

Estrategias para abordar los desafíos de las WebViews#

1. Comprobar la compatibilidad de la WebView:
   • Usa datos de State of Passkeys para identificar las limitaciones de las WebViews.
   • Evalúa los tipos específicos de WebView que utilizas en tu aplicación (por ejemplo, WKWebView frente a la WebView de Android).

2. Opciones de respaldo (Fallback):

   • Redirige a los usuarios a navegadores nativos para la autenticación si la compatibilidad de la WebView no es suficiente.
   • Mantén métodos MFA alternativos durante la fase de transición.

3. Fomentar la implementación nativa: Siempre que sea posible, utiliza componentes de una aplicación nativa para la funcionalidad de las passkeys en lugar de depender de las WebViews.

4. Colaborar con los proveedores: Trabaja junto a los proveedores de la plataforma y de la WebView para promover un mejor soporte de WebAuthn en futuras actualizaciones.

Conclusión#

Las WebViews plantean desafíos importantes para las passkeys debido al soporte limitado de WebAuthn y a sus restricciones de seguridad. Al comprender estas limitaciones e implementar estrategias como las opciones de respaldo y los componentes de una aplicación nativa, podemos asegurar un lanzamiento más fluido de las passkeys.

Lee el artículo completo#

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →