Perché le WebView nelle app mobili rappresentano una sfida per le passkey?

Perché le WebView nelle app mobili rappresentano una sfida per le passkey?#

Le WebView, spesso usate nelle app mobili per mostrare contenuti web, presentano sfide uniche quando implementiamo le passkey. Queste sfide derivano dal supporto limitato per le funzionalità WebAuthn in molti ambienti WebView.

Sfide principali delle WebView con le passkey#

1. Supporto WebAuthn limitato#

• Molte WebView non supportano completamente le API WebAuthn, rendendo difficile abilitare la funzionalità passkey.
• I browser nativi come Chrome o Safari sono in genere più pronti per le passkey rispetto alle WebView. In alternativa, è possibile un'implementazione nativa delle passkey nell'app iOS o Android.

2. Implementazioni incoerenti#

Le capacità delle WebView variano in base alla piattaforma e alla versione:

• WKWebView su iOS offre un supporto migliore ma potrebbe comunque mancare di funzionalità WebAuthn fondamentali.
• Le implementazioni WebView su Android sono spesso meno coerenti e possono richiedere configurazioni personalizzate.

3. Restrizioni di sicurezza#

• Le WebView spesso hanno ambienti ristretti che limitano l'accesso all'authenticator locale, come Face ID, Touch ID o l'equivalente biometrico di Android.
• Questo può impedire la creazione fluida di una passkey (passkey creation) o il suo utilizzo all'interno dell'app.

4. Problemi di User Experience#

Se le passkey non funzionano nelle WebView, gli User potrebbero dover passare a un browser o a un'app esterna per l'autenticazione, interrompendo il flusso di login. Di solito, la migliore UX con le passkey si ottiene utilizzando l'implementazione nativa nei rispettivi framework di sviluppo per app iOS o Android (es. Kotlin, Swift).

Strategie per affrontare le sfide delle WebView#

1. Testare la compatibilità delle WebView:
   • Utilizziamo i dati di State of Passkeys per identificare i limiti delle WebView.
   • Valutiamo i tipi specifici di WebView (es. WKWebView vs. Android WebView) utilizzati nell'app.

2. Opzioni di fallback:

   • Reindirizziamo gli User ai browser nativi per l'autenticazione se il supporto WebView è insufficiente.
   • Manteniamo metodi MFA alternativi durante la fase di transizione.

3. Incoraggiare l'implementazione nativa: Dove possibile, usiamo componenti dell'app nativa per la funzionalità passkey invece di affidarci alle WebView.

4. Collaborare con i fornitori: Lavoriamo con i fornitori di piattaforme e WebView per promuovere un migliore supporto WebAuthn nei futuri aggiornamenti.

Conclusione#

Le WebView pongono sfide significative per le passkey a causa del supporto WebAuthn limitato e delle restrizioni di sicurezza. Comprendendo questi limiti e implementando strategie come le opzioni di fallback e i componenti per app native, possiamo garantire un rilascio delle passkey molto più fluido.

Leggi l'articolo completo#

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →