モバイルアプリのWebViewがパスキーの課題となる理由

モバイルアプリのWebViewがパスキーの課題となる理由#

モバイルアプリでWebコンテンツを表示するためによく使われるWebViewは、パスキーを実装する際に特有の課題をもたらします。これらの課題は、多くのWebView環境においてWebAuthn機能のサポートが制限されていることに起因します。

WebViewでのパスキーに関する主な課題#

1. WebAuthnサポートの制限#

• 多くのWebViewはWebAuthn APIを完全にサポートしていないため、パスキー機能の有効化が難しくなっています。
• ChromeやSafariのようなネイティブブラウザは、通常、WebViewよりもパスキーに対応しています。また、iOSやAndroidアプリ内でパスキーのネイティブ実装を行うことも可能です。

2. 一貫性のない実装#

WebViewの機能は、プラットフォームやバージョンによって異なります。

• iOSのWKWebViewはサポートが充実していますが、それでも重要なWebAuthn機能が欠けている場合があります。
• AndroidのWebView実装は一貫性に欠けることが多く、カスタム設定が必要になる場合があります。

3. セキュリティ上の制約#

• WebViewは制限された環境であることが多く、Face ID、Touch ID、またはAndroidの生体認証など、ローカルのAuthenticatorへのアクセスが制限されます。
• これにより、アプリ内でのスムーズなパスキー作成や利用が妨げられる可能性があります。

4. ユーザー体験（UX）の問題#

WebView内でパスキーが機能しない場合、ユーザーは認証のために外部ブラウザや別のアプリに切り替える必要があり、ログインの流れが中断されてしまいます。通常、最高のパスキーUXを実現するには、それぞれのiOSやAndroidアプリ開発フレームワーク（Kotlin、Swiftなど）でパスキーのネイティブ実装を使用するのがベストです。

WebViewの課題に対処するための戦略#

1. WebViewの互換性をテストする:
   • State of Passkeysのデータを活用して、WebViewの制限事項を把握しましょう。
   • アプリで使用されている特定のWebViewタイプ（WKWebViewやAndroid WebViewなど）を評価します。

2. フォールバック（代替）オプションを用意する:

   • WebViewのサポートが不十分な場合は、認証のためにユーザーをネイティブブラウザへリダイレクトします。
   • 移行期間中は、代替となるMFA（多要素認証）メソッドを維持しましょう。

3. ネイティブ実装を推進する: 可能な限りWebViewに依存せず、パスキー機能にはネイティブアプリのコンポーネントを使用します。

4. ベンダーと連携する: WebViewやプラットフォームのプロバイダーと協力し、今後のアップデートでWebAuthnのサポートを改善するよう働きかけましょう。

まとめ#

WebViewは、WebAuthnのサポート制限やセキュリティ上の制約により、パスキーにとって大きな課題となります。これらの制限を理解し、フォールバックオプションやネイティブアプリのコンポーネントなどの戦略を実装することで、よりスムーズなパスキーの導入を実現できます。

関連記事を読む#

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →