Почему WebViews в мобильных приложениях создают проблемы для ключей доступа?

Почему WebViews в мобильных приложениях создают проблемы для Passkeys?#

WebViews, которые часто используются в мобильных приложениях для отображения веб-контента, создают уникальные трудности при внедрении Passkeys. Эти проблемы связаны с ограниченной поддержкой функций WebAuthn во многих средах WebView.

Основные проблемы с WebViews для Passkeys#

1. Ограниченная поддержка WebAuthn#

• Многим WebViews не хватает полной поддержки API WebAuthn, из-за чего сложно включить функциональность Passkeys.
• Нативные браузеры, такие как Chrome или Safari, обычно лучше готовы к работе с Passkeys, чем WebViews. В качестве альтернативы возможна нативная реализация Passkeys в приложении для iOS или Android.

2. Различия в реализациях#

Возможности WebView зависят от платформы и версии:

• WKWebView на iOS предлагает лучшую поддержку, но в нем все еще могут отсутствовать ключевые функции WebAuthn.
• Реализации WebView на Android часто менее стабильны и могут требовать дополнительных настроек.

3. Ограничения безопасности#

• WebViews часто работают в изолированных средах, которые ограничивают доступ к локальному аутентификатору, такому как Face ID, Touch ID или их биометрическим аналогам на Android.
• Это может помешать беспрепятственному созданию Passkeys или их использованию внутри приложения.

4. Проблемы с пользовательским опытом (UX)#

Если Passkeys не работают в WebViews, пользователям может потребоваться переключиться на внешний браузер или приложение для аутентификации, что нарушает процесс входа. Как правило, лучший UX для Passkeys достигается при использовании их нативной реализации в соответствующих фреймворках для разработки под iOS или Android (например, Kotlin, Swift).

Стратегии решения проблем с WebViews#

1. Тестирование совместимости WebView:
   • Используйте данные State of Passkeys для выявления ограничений WebViews.
   • Оцените конкретные типы WebView (например, WKWebView в сравнении с Android WebView), которые используются в вашем приложении.

2. Запасные варианты (Fallbacks):

   • Перенаправляйте пользователей в нативные браузеры для аутентификации, если поддержка WebView недостаточна.
   • Сохраняйте альтернативные методы MFA на переходном этапе.

3. Использование нативной реализации: По возможности используйте компоненты нативного приложения для работы с Passkeys, вместо того чтобы полагаться на WebViews.

4. Работа с поставщиками: Сотрудничайте с провайдерами WebViews и платформ, чтобы способствовать улучшению поддержки WebAuthn в будущих обновлениях.

Заключение#

WebViews создают серьезные проблемы для Passkeys из-за ограниченной поддержки WebAuthn и ограничений безопасности. Понимая эти особенности и внедряя такие стратегии, как запасные варианты и компоненты нативного приложения, мы можем обеспечить более плавное внедрение Passkeys.

Читать полную статью#

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →