Mengapa WebView di aplikasi seluler menjadi tantangan bagi passkey?

Mengapa WebView di aplikasi seluler menjadi tantangan bagi passkey?#

WebView, yang sering digunakan di aplikasi seluler untuk menampilkan konten web, memberikan tantangan tersendiri saat kita mengimplementasikan passkey. Tantangan ini muncul karena terbatasnya dukungan untuk fitur WebAuthn di berbagai lingkungan WebView.

Tantangan Utama WebView untuk Passkey#

1. Dukungan WebAuthn yang Terbatas#

• Banyak WebView tidak memiliki dukungan penuh untuk API WebAuthn, sehingga sulit untuk mengaktifkan fungsionalitas passkey.
• Browser native seperti Chrome atau Safari biasanya lebih siap mendukung passkey dibandingkan WebView. Sebagai alternatif, kita bisa melakukan implementasi passkey secara native di aplikasi iOS atau Android.

2. Implementasi yang Tidak Konsisten#

Kemampuan WebView berbeda-beda tergantung platform dan versinya:

• WKWebView di iOS menawarkan dukungan yang lebih baik, tetapi mungkin masih kekurangan beberapa fitur utama WebAuthn.
• Implementasi WebView di Android sering kali kurang konsisten dan mungkin memerlukan konfigurasi khusus.

3. Batasan Keamanan#

• WebView sering kali memiliki lingkungan yang membatasi akses ke authenticator lokal, seperti Face ID, Touch ID, atau sistem biometrik serupa di Android.
• Hal ini bisa menghambat proses pembuatan passkey atau penggunaan yang mulus di dalam aplikasi.

4. Masalah Pengalaman Pengguna (UX)#

Jika passkey tidak berfungsi di WebView, pengguna mungkin harus beralih ke browser atau aplikasi eksternal untuk autentikasi, yang mana mengganggu alur login. Biasanya, UX passkey terbaik bisa dicapai jika kita menggunakan implementasi native dari passkey di framework pengembangan aplikasi iOS atau Android masing-masing (misalnya Kotlin, Swift).

Strategi Menghadapi Tantangan WebView#

1. Uji Kompatibilitas WebView:
   • Gunakan data dari State of Passkeys untuk mengetahui batasan-batasan WebView.
   • Evaluasi tipe WebView spesifik (misalnya, WKWebView vs. Android WebView) yang digunakan di aplikasi.

2. Opsi Cadangan (Fallback):

   • Arahkan pengguna ke browser native untuk autentikasi jika dukungan WebView tidak memadai.
   • Pertahankan metode MFA alternatif selama fase transisi.

3. Dorong Implementasi Native: Sebisa mungkin, gunakan komponen aplikasi native untuk fungsionalitas passkey ketimbang bergantung pada WebView.

4. Kerja Sama dengan Vendor: Berkolaborasilah dengan penyedia WebView dan platform untuk mendorong dukungan WebAuthn yang lebih baik di pembaruan mendatang.

Kesimpulan#

WebView memberikan tantangan yang cukup besar bagi passkey karena dukungan WebAuthn yang terbatas dan batasan keamanan. Dengan memahami batasan ini dan menerapkan strategi seperti opsi fallback serta komponen aplikasi native, kita bisa memastikan peluncuran passkey berjalan lebih lancar.

Baca artikel selengkapnya#

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →