Por que as WebViews em aplicativos móveis são um desafio para as passkeys?

Por que as WebViews em aplicativos móveis são um desafio para as passkeys?#

As WebViews, frequentemente usadas em aplicativos móveis para renderizar conteúdo web, apresentam desafios únicos na implementação de passkeys. Esses desafios surgem do suporte limitado aos recursos do WebAuthn em muitos ambientes de WebView.

Principais desafios das WebViews com passkeys#

1. Suporte limitado ao WebAuthn#

• Muitas WebViews não têm suporte completo às APIs do WebAuthn, dificultando a ativação da funcionalidade de passkey.
• Navegadores nativos como o Chrome ou Safari geralmente estão mais preparados para passkeys do que as WebViews. Como alternativa, é possível fazer uma implementação nativa de passkeys no aplicativo iOS ou Android.

2. Implementações inconsistentes#

Os recursos das WebViews variam conforme a plataforma e a versão:

• A WKWebView no iOS oferece um suporte melhor, mas ainda pode não ter recursos importantes do WebAuthn.
• As implementações de WebView no Android geralmente são menos consistentes e podem exigir configurações personalizadas.

3. Restrições de segurança#

• As WebViews costumam ter ambientes restritos que limitam o acesso ao autenticador local, como o Face ID, Touch ID ou o equivalente biométrico do Android.
• Isso pode impedir a criação ou o uso contínuo de passkeys dentro do aplicativo.

4. Problemas na experiência do usuário#

Se as passkeys não funcionarem nas WebViews, os usuários podem precisar mudar para um navegador ou aplicativo externo para se autenticar, interrompendo o fluxo de login. Normalmente, a melhor experiência de usuário com passkeys é alcançada usando a implementação nativa em frameworks de desenvolvimento para iOS ou Android (como Kotlin, Swift).

Estratégias para lidar com os desafios das WebViews#

1. Teste a compatibilidade da WebView:
   • Use dados do State of Passkeys para identificar as limitações das WebViews.
   • Avalie os tipos específicos de WebView (por exemplo, WKWebView vs. Android WebView) usados no seu aplicativo.

2. Opções de fallback:

   • Redirecione os usuários para navegadores nativos para autenticação se o suporte da WebView for insuficiente.
   • Mantenha métodos alternativos de MFA durante a fase de transição.

3. Incentive a implementação nativa: Sempre que possível, use componentes de aplicativos nativos para a funcionalidade de passkey em vez de depender de WebViews.

4. Trabalhe com os fornecedores: Colabore com provedores de plataforma e WebViews para defender um suporte melhor ao WebAuthn em atualizações futuras.

Conclusão#

As WebViews representam desafios significativos para as passkeys devido ao suporte limitado ao WebAuthn e às restrições de segurança. Ao entender essas limitações e implementar estratégias como opções de fallback e componentes de aplicativos nativos, podemos garantir uma adoção de passkeys mais tranquila.

Leia o artigo completo#

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →