Yerel Uygulama Geçiş Anahtarları: Yerel ve WebView Uygulaması Karşılaştırması

Bu makale, yerel uygulamalarda (iOS + Android) geçiş anahtarlarının nasıl uygulanacağını açıklamaktadır. Geçiş anahtarı kimlik doğrulaması için hangi WebView türünün önerildiğini öğreneceksiniz.

Our mission is to make the Internet a safer place, and the new login standard passkeys provides a superior solution to achieve that. That's why we want to help you understand passkeys and its characteristics better.

1. Yerel Uygulama Geçiş Anahtarı Uygulama Seçenekleri#

Kimlik doğrulama, kullanıcı verilerini koruyan ve yerel uygulamalarda güvenli etkileşimleri sağlayan bir koruyucu görevi görür. Geçiş anahtarlarının ortaya çıkışı, sağlam ve kullanıcı dostu bir kimlik doğrulama mekanizması sunarak bu alanda devrim yarattı. Geçiş anahtarlarını yerel bir uygulamaya entegre etmenin iki ana yolu vardır: yerel uygulama veya WebView aracılığıyla. Öncelikle bu iki yolun nasıl karşılaştırıldığına bir göz atalım.

1.1 Yerel Uygulama: Harika Kullanıcı Deneyimi#

Yerel bir uygulamanın genellikle bir uygulama içinde en iyi kullanıcı deneyimini sağladığı düşünülür. İster iOS ister Android olsun, işletim sisteminin ortamına tam olarak uyarlanmış akıcı, entegre ve bütünleşik kullanıcı etkileşimleriyle karakterize edilir. %100 yerel bir uygulama için gereklilik, %100 şifresiz olmak ve gerçekten geçiş anahtarı-yerel olmaktır. Bu yaklaşım, sizi yerel uygulama ile web içeriği (bir WebView aracılığıyla görüntülenen) arasında geçiş yapmanın potansiyel zorluklarından kurtarır.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

1.2 WebView Uygulaması: Tarayıcı Benzeri Deneyim#

Bir yerel uygulama geliştirirken, tamamen yerel olma yolu her zaman mümkün olmayabilir. OAuth2 kullanarak şifre tabanlı kimlik doğrulamayı hala desteklemeniz gereken senaryolarda, tam bir yerel entegrasyon mümkün olmayabilir ve bu da WebView uygulamalarını tek geçerli alternatif haline getirir. WebView, web içeriğini doğrudan uygulamanızın içine gömerek bir köprü görevi görür ve web sayfalarında gezinirken tarayıcı benzeri bir kullanıcı deneyimi sağlar. Bu, özellikle kendiniz bir OAuth2 sağlayıcısıysanız, temel kimlik doğrulama çözümünüz OAuth2 tabanlıysa veya oturum açma çözümünüz Google veya GitHub gibi üçüncü taraflar aracılığıyla sosyal girişler kullanıyorsa geçerlidir. Bu durumlarda, özellikle yerel uygulama ilişkilendirmeleri gerektiğinde, web içeriğiyle etkileşim kurma ve çeşitli kullanıcı kimlik doğrulama akışlarını yönetme zorunluluğu nedeniyle bir WebView kullanmak kaçınılmaz hale gelir.

Özünde, yerel uygulamalar benzersiz ve akıcı bir kullanıcı deneyimi sunarken, özellikle şifre tabanlı veya OAuth2 tabanlı kimlik doğrulama çözümleriyle birleştirildiğinde her zaman geçerli bir seçenek olmayabilirler. Öte yandan, WebView uygulamaları, web içeriğini entegre etmek ve uygulamanız içinde kullanıcı kimlik doğrulamasını yönetmek için esnek, ancak biraz daha az sorunsuz bir yol sunar ve çeşitli kimlik doğrulama akışlarının ve üçüncü taraf girişlerinin karmaşıklıklarında gezinebilmenizi sağlar.

Bu makalenin sonraki bölümleri WebView aracılığıyla uygulamaya odaklanmaktadır. Yerel geçiş anahtarı entegrasyonu hakkında daha fazla bilgi edinmek için lütfen buraya bakın.

Ben Gould

Head of Engineering

I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.

10.000'den fazla geliştirici Corbado'ya güveniyor ve geçiş anahtarlarıyla İnternet'i daha güvenli hale getiriyor. Sorularınız mı var? Geçiş anahtarları üzerine 150'den fazla blog yazısı yazdık.

Passkeys Topluluğuna Katılın

2. WebView Seçeneklerine Genel Bakış#

Yerel uygulamalarda kimlik doğrulama labirentinde gezinirken, geliştiriciler ve ürün yöneticileri önemli bir kararla karşılaşır: geçiş anahtarı kimlik doğrulamasını yerel olarak mı yoksa WebView aracılığıyla mı uygulayacakları. İkincisine karar verilirse, hem iOS hem de Android platformları, her biri kendine özgü niteliklere ve potansiyel kullanım durumlarına sahip iki farklı türde WebView sunar.

2.1 iOS WebView'ları#

WKWebView
SFSafariViewController
SFAuthenticationSession / ASWebAuthenticationSession (özellikle OAuth / OpenID Connect tabanlı kimlik doğrulama akışları için tasarlanmıştır)

Sonraki bölümlerde, bu WebView türlerini daha derinlemesine inceliyor ve sonuç olarak yerel uygulamalarınızda geçiş anahtarı kimlik doğrulaması için hangi WebView'ı kullanacağınıza dair bilinçli bir karar vermenize rehberlik ediyoruz (eğer saf yerel uygulama bir alternatif değilse).

Subscribe to our Passkeys Substack for the latest news.

3. iOS'ta WebView'lar#

iOS WebView'ları ya WKWebView ya da SFSafariViewController'dır (OAuth / OIDC ile çalışıyorsanız, bu SFAuthenticationSession / ASWebAuthenticationSession'dır).

iOS'taki farklı WebView davranışlarını test etmek için WebView - WKWebView and UIWebView rendering uygulamasını öneririz.

3.1 WKWebView#

WKWebView, iOS geliştiricileri için mevcut olan güçlü ve çok yönlü bir WebView seçeneğidir. iOS 8 ile tanıtılan bu özellik, geliştiricilerin web içeriğini doğrudan bir uygulamanın içine gömmelerine olanak tanır ve çok çeşitli özelleştirme ve yapılandırma seçenekleri sunar. WKWebView, Safari ile aynı web oluşturma motorunu kullanmasıyla performansıyla ünlüdür ve web içeriğiyle etkileşim kurmak, gezinmeyi yönetmek, kullanıcı etkileşimleri ve daha fazlası için zengin bir API seti sunar.

3.2 SFSafariViewController#

SFSafariViewController, geliştiricilerin Safari'nin yeteneklerinden doğrudan uygulamaları içinde yararlanmalarını sağlayan bir WebView'dır. Kullanıcının Safari ayarlarını (kayıtlı şifreler, geçiş anahtarları, çerezler ve daha fazlası gibi) kullanarak sorunsuz bir kullanıcı deneyimi sağlar ve aslında Safari uygulaması olarak çalıştığı için tutarlı bir web gezintisi sunar. SFSafariViewController, WKWebView kadar özelleştirilebilir değildir ancak gelişmiş güvenlik özellikleri ve kullanım kolaylığı sunar, bu da onu uygulamalar içinde basit web içeriğini görüntülemek için tercih edilen bir seçenek haline getirir.

	WKWebView	SFSafariViewController
Kullanıcı deneyimi	- Yerel his: Geliştiriciler görünümü ve hissi uygulamanın tasarımına uyacak şekilde özelleştirebildiği için kullanıcılar web içeriğinin uygulamanın yerel bir parçası olduğunu hissedebilirler. - Otomatik doldurma: Safari'den gelen verilerle otomatik doldurma mümkündür	- Sorunsuz: Kullanıcının Safari ayarlarını kullanarak sorunsuz bir kullanıcı deneyimi sunar ve yerel uygulama ile tarayıcı arasında tutarlı bir web gezintisi sağlar.
Geliştirici deneyimi	- Yüksek düzeyde özelleştirilebilir: Kapsamlı özelleştirme ve yapılandırma mevcuttur - Esnek: Web içeriğiyle etkileşim için birçok API	- Orta düzeyde özelleştirilebilir: Özellikle WKWebView'a kıyasla sınırlı özelleştirme seçenekleri, - Basit: WKWebView'a kıyasla uygulanması daha basittir
Performans	- Daha yavaş: Uygulamaya ve web içeriğine bağlı olarak, yükleme hızları optimize edilebilir, ancak özel özelliklerin ve etkileşimlerin ek işlenmesi nedeniyle SFSafariViewController'a kıyasla yine de daha yavaş olabilir.	- Daha hızlı: Genellikle hız ve verimlilik için optimize edilmiş Safari motorundan yararlandığı için daha iyi performans sunar ve web sayfaları için hızlı yükleme süreleri sağlar.
Güven ve tanınırlık	- URL Görüntüleme gerekli değil: WKWebView genellikle URL'yi göstermez, bu da kullanıcıların web sayfasını doğrulamasını zorlaştırır. Kötü amaçlı uygulamaların bu davranışı taklit etme ve kimlik bilgilerini oltalama potansiyeli vardır.	- Tarayıcı benzeri Deneyim: Web sayfalarını Safari kullanarak oluşturur ve "tarayıcı benzeri" bir deneyim sunar. Kullanıcılar URL'yi görebilir ve Safari'nin otomatik doldurma özelliklerine erişebilir, bu da tanıdık arayüz sayesinde potansiyel olarak daha fazla güven aşılar.
İzolasyon	- Ayrılmış: Çerezler ve oturumlar Safari'den ayrılmıştır; kullanıcılar bir WKWebView'a otomatik olarak giriş yapmazlar.	- Ayrılmış: Çerezler ve oturumlar Safari'den ayrılmıştır; kullanıcılar SFSafariViewController'a da otomatik olarak giriş yapmazlar.
Güvenlik açıkları	- Güvenli: Apple'ın uygulama korumalı alanı sayesinde doğası gereği güvenlidir, ancak davranış ve güvenlik uygulamanın implementasyonuna bağlıdır. Doğru şekilde uygulanmazsa potansiyel güvenlik açıkları olabilir.	- Daha Güvenli: Safari'nin yerleşik güvenlik özelliklerinden (kimlik avı önleme ve kötü amaçlı web sitesi uyarıları dahil) yararlanır. Bu özellikler ve kullanıcının Safari'ye aşinalığı nedeniyle genellikle web içeriğini görüntülemek için WKWebView'dan daha güvenli kabul edilir.
Diğer	- Özellikler mevcut değil: Bazı tarayıcı özellikleri (ör. WebAuthn) güvenlik endişeleri ve WKWebView'ın uygulama bağlamında çalışması nedeniyle tam olarak erişilebilir olmayabilir. - JavaScript enjeksiyonu: TikTok gibi bazı uygulamalar, uygulama içi WKWebView'larına izleme JavaScript'i enjekte eder veya kullanıcı denetimini kısıtlar (ör. Facebook) - Gizlilik sorunları: Gizlilikle ilgili daha fazla topluluk geri bildirimi	- JavaScript enjeksiyonu yok: Uygulamadan JavaScript yürütülmesine izin vermez, bu da güvenlik ve gizliliği artırır. Ayrıca JavaScript uyarılarını veya onaylarını desteklemez, bu da belirli web sayfalarında kullanıcı deneyimini potansiyel olarak etkileyebilir. - Okuyucu Modu: Makalelerin temiz, okunması kolay bir sürümü için bir okuyucu modu sağlar.

3.3 SFAuthenticationSession / ASWebAuthenticationSession#

SFAuthenticationSession ve ASWebAuthenticationSession, özellikle OAuth / OpenID Connect tabanlı kimlik doğrulama akışları için tasarlanmış WebView'lardır. Kullanıcı kimlik doğrulaması için güvenli ve yalıtılmış bir alan sağlarlar, kullanıcı kimlik bilgilerini korur ve özel bilgilerin yanlışlıkla uygulamayla paylaşılmamasını sağlarlar. Bu oturumlar, çerezleri ve web sitesi verilerini Safari ile paylaşarak, özellikle kimlik doğrulama süreçleri sırasında tutarlı ve sorunsuz bir kullanıcı deneyimi sunar.

Artıları:

Özel Kimlik Doğrulama: Özellikle OAuth / OpenID Connect tabanlı kimlik doğrulama akışları için tasarlanmıştır ve kolaylaştırılmış bir kimlik doğrulama süreci sağlar.
Gizlilik Koruması: Çerezleri veya web sitesi verilerini uygulamayla paylaşmayarak kullanıcı verilerinin gizliliğini sağlar.
SSO Desteği: Tek Oturum Açma (SSO) desteği sunarak kullanışlı bir kullanıcı deneyimi sağlar.

Eksileri:

Sınırlı Kullanım Alanı: Öncelikle OAuth / OpenID Connect kimlik doğrulamasına odaklanmıştır, bu da tüm kullanım durumları için uygun olmayabilir.

Birincil görev kullanıcı kimlik doğrulaması olduğunda, özellikle SSO uygularken veya OAuth sağlayıcılarıyla etkileşimde bulunurken, SFSafariViewController yerine SFAuthenticationSession / ASWebAuthenticationSession kullanmalısınız.

Want to find out how many people use passkeys?

View Adoption Data

4. Android'de WebView'lar#

Android WebView'ları ya WebView ya da Chrome Custom Tabs (CCT)'dir. Android'deki farklı WebView davranışlarını test etmek için WebView vs Chrome Custom Tabs uygulamasını öneririz.

4.1 Android WebView#

Android'deki WebView, geliştiricilerin web içeriğini uygulamanın kullanıcı arayüzünün bir parçası olarak görüntülemelerine olanak tanıyan kapsamlı bir bileşendir. Çok yönlüdür, geniş bir özelleştirme seçeneği yelpazesi sunar ve geliştiricilere WebView'ı çeşitli ihtiyaçlara uyacak şekilde yapılandırma esnekliği sağlar. WebView, web içeriğiyle etkileşim kurmak, kullanıcı etkileşimlerini yönetmek ve hatta JavaScript diyaloglarını, istemci sertifikalarını ve izin isteklerini işlemek için zengin bir API seti sağlar.

4.2 Chrome Custom Tabs (CCT)#

Chrome Custom Tabs (CCT), web içeriğini doğrudan uygulamanıza entegre etmenin sorunsuz, güvenli ve verimli bir yolunu sunar. Chrome'un yeteneklerinden ve güvenlik özelliklerinden yararlanan CCT, hem tutarlı hem de yüksek performanslı bir kullanıcı deneyimi sağlar.

CCT, Chrome tarayıcısının bir bileşenidir ve Android çerçevesiyle entegre olacak şekilde tasarlanmıştır, bu da uygulamaların web içeriğini hafif, özel bir işlemde açmasına olanak tanır. Özellikle, geleneksel bir tarayıcıdan daha hızlı açılır ve ön ısıtma çağrısı aracılığıyla önceden yüklendiğinde potansiyel olarak bir WebView'dan daha iyi performans gösterir. JavaScript'i çalıştırırken, kendi işleminde çalışır ve uygulamaları kötü amaçlı kod çalıştırmaktan korur. Dahası, CCT'nin kullanıcı arayüzü, URL'yi ve güvenli sayfalar için bir SSL doğrulama kilit simgesini görüntüleyen bir eylem çubuğu sağlar, böylece kullanıcılara yüklenen sayfanın orijinalliği ve güvenliği konusunda güvence verir.

Genel olarak, iOS WKWebView ve Android WebView'ın yanı sıra SFSafariViewController ve Chrome Custom Tabs (CCT)'nin benzer olduğu söylenebilir.

Özellik	WebView	Chrome Custom Tab
Kullanıcı deneyimi	- Esneklik: Web içeriğiyle etkileşim kurmak ve JavaScript diyalogları ve izin istekleri dahil olmak üzere kullanıcı etkileşimlerini yönetmek için zengin bir API seti sağlar. - Tutarlılık: Özellikle çeşitli web içerikleriyle tutarlı bir kullanıcı deneyimi yönetmek zor olabilir.	- Tarayıcı Özellikleri: Veri Tasarrufu ve cihazlar arasında senkronize Otomatik Tamamlama gibi özellikleri paylaşır. - Geri Düğmesi: Kullanıcıların entegre bir geri düğmesiyle uygulamaya kolayca dönmelerini sağlar. - Bağımlılık: Chrome uygulamasına dayanır, bu da tüm kullanıcı cihazlarında mevcut veya güncel olmayabilir - Tarayıcıya Yönlendirme: Belirli işlevler kullanıcıları Chrome uygulamasına yönlendirebilir ve potansiyel olarak kullanıcı deneyimini kesintiye uğratabilir. - Kısmi Özel Sekmeler: Ekranın yalnızca bir kısmı Chrome Özel Sekmesi için kullanılabilirken geri kalanı yerel uygulamayı gösterir - Yan sayfa: Yatay modda ve büyük ekranlı cihazlarda, Chrome Özel Sekmesi ekranın yalnızca bir tarafında görüntülenirken, ekranın geri kalanı yerel uygulamayı gösterir
Geliştirici deneyimi	- Yüksek Düzeyde Özelleştirilebilir: Kapsamlı özelleştirme seçenekleri/ihtiyaçları sunar. - Etkileşim: Web içeriğiyle etkileşim kurmak ve kullanıcı etkileşimlerini yönetmek için çok sayıda API sağlar.	- Özelleştirilebilir: Araç çubuğu rengi, eylem düğmesi, alt araç çubuğu, özel menü öğeleri ve giriş/çıkış animasyonlarının özelleştirilmesine olanak tanır. - Geri Çağrı: Harici bir gezinme üzerine uygulamaya bir geri çağrı iletir. - Güvenlik Özellikleri: Kutudan çıktığı gibi özellikler sağlar, istekleri, izin hibelerini veya çerez depolarını yönetme ihtiyacını ortadan kaldırır.
Performans	- Vasat Performans: Chrome Custom Tabs (CCT) ile aynı performans seviyesini sunmayabilir	- Ön Isıtma: Sayfa yükleme süresini artırmak için tarayıcının arka planda önceden ısıtılmasını ve URL'lerin spekülatif yüklenmesini içerir. - Öncelik: Bir Özel Sekme başlatan uygulamaların, önemini "ön plan" seviyesine yükselterek kullanımı sırasında çıkarılmasını önler.
Güven ve tanınırlık	- URL ve SSL Görünmez: URL ve SSL bilgileri bir WebView'da doğal olarak görünmez. Uygulama geliştiricisi bu özellikleri uygulamadığı sürece, kullanıcılar doğru web sitesinde mi yoksa bir oltalama sitesinde mi olduklarını bilemezler.	- URL ve SSL Görünür: Sayfaları oluşturmak için gerçek Chrome tarayıcısını kullanır. Kullanıcılar URL'yi ve SSL sertifikasını (bağlantının güvenli olup olmadığını gösterir) görebilirler. Bu, kullanıcılara bir oltalama sitesinde olmadıklarına dair güven verebilir.
İzolasyon	- Uygulamanın İşlemi İçinde Çalışır: Bir uygulamanın kötü amaçlı kod yürütülmesine izin veren bir güvenlik açığı varsa, WebView'ın tehlikeye girme riski vardır. Ancak, WebView da güncellemeler alır, ancak davranışı ve güvenliği onu kullanan uygulamaya daha bağımlı olabilir. - Çerez / Oturum Paylaşımı Yok: Cihazın ana tarayıcısıyla çerezleri veya oturumları paylaşmaz, izolasyon sunar ancak kullanıcıların tekrar giriş yapmasını gerektirebilir.	- Chrome'un İşlemi İçinde Çalışır: Chrome'un bir parçası olarak, Özel Sekmeler aynı işlemde çalışır ve Chrome ile aynı güvenlik güncellemelerine ve özelliklerine sahiptir. - Paylaşılan Çerez Kavanozu ve İzin Modeli: Kullanıcıların sitelere yeniden giriş yapmak veya izinleri yeniden vermek zorunda kalmamasını sağlar. - Chrome Ayarları ve Tercihleri: Chrome'un ayarlarını ve tercihlerini kullanır.
Güvenlik açıkları	- Kimlik Bilgilerini Çalmak için Geri Çağrılar: Potansiyel güvenlik açıkları arasında bazen JavaScript'in gerekli olması yer alır, bu da diğer uygulamaların kullanıcı adlarını ve şifreleri yakalamaya çalışan geri çağrıları kaydetmek gibi kötü amaçlı kod çalıştırmasına kapı aralar. - Oltalama: Ek olarak, kötü amaçlı bir uygulama, bir oltalama girişiminde Link akışını taklit eden başka bir web sayfası açabilir.	- Google Güvenli Tarama: Hem kullanıcıyı hem de cihazı tehlikeli sitelerden korumak için Google'ın Güvenli Tarama özelliğini kullanır. - Güvenli Tarayıcı Dekorasyonu: Kullanıcının her zaman etkileşimde bulunduğu tam URL'yi görmesini ve web sitesinin sertifika bilgilerini görüntüleyebilmesini sağlar, bu da oltalama riskini azaltır. Ayrıca, özel sekmeler JavaScript enjeksiyonuna izin vermez.
Diğer	- Google, kullanıcıları Google hesaplarına giriş yapmak için WebView'ları yasakladı

5. Yerel Uygulamalarda Geçiş Anahtarı Uygulaması için Öneri#

Müşterilerimiz sürekli olarak yerel uygulamalarda geçiş anahtarlarının nasıl uygulanması gerektiğini soruyorlar. Bu müşteriler büyük ölçüde farklı gruplara ayrılabilir:

Grup A:

Yerel uygulamalarını sıfırdan oluşturmaya başlayan ve doğrudan şifresiz kimlik doğrulama çözümümüzü kullanabilen müşteriler (eski şifreler mevcut değil).

Grup B:

Mevcut kullanıcıları ve mevcut bir kimlik doğrulama çözümü olan müşteriler. Genellikle, kimlik doğrulama sürecine geçiş anahtarları eklemesi gereken mevcut bir web uygulamaları da vardır. Burada birçok şirket iki adımlı bir süreç izlemeye karar veriyor:

Mevcut WebView kimlik doğrulama akışınıza geçiş anahtarları ekleyin (Google ve GitHub'ın yerel uygulamalarında bu şekilde uyguladığı gibi)
Üstüne yerel uygulama aracılığıyla geçiş anahtarları ekleyin. Bu yerel geçiş anahtarı uygulaması, eski WebView'dan önce (örneğin sosyal girişler ve şifreler için) kullanıcının bir geçiş anahtarıyla giriş yapıp yapamayacağını kontrol eder (KAYAK'ın yerel uygulamasında bu şekilde uyguladığı gibi).

Grubunuzu Belirleyin

Kullanıcılarınıza bir yerel uygulamada en iyi geçiş anahtarı uygulamasını sunmak için, mevcut teknik kurulumunuza ve geçiş anahtarlarını nasıl teşvik etmek istediğinize bağlı olarak hangi gruba ait olduğunuza karar vermeniz gerekir (bu soru B grubundaki şirketler için geçerlidir).

Grup A için Öneri: Yerel Uygulama

Tamamen yeni bir uygulama oluşturuyorsanız (grup A), yerel bir geçiş anahtarı uygulamasıyla devam etmenizi ve hemen tamamen şifresiz olmanızı öneririz (böylece hiçbir WebView türü kullanılmaz). Lütfen iOS ve Android için yerel SDK'ları ve API'leri kullanın (örneğin, passkeys Flutter paketi aracılığıyla). Lütfen ayrıca Relying Party ID'leri hakkındaki bu makaleyi de okuyun.

Grup B için Öneri: Önce WebView, Sonra Yerel Uygulama

Herhangi bir nedenle bugün geçiş anahtarlarını yerel olarak uygulayamıyorsanız (grup B), bir WebView uygulamasıyla başlayabilir ve ardından gelecekte yerel bir geçiş anahtarı uygulamasına geçebilirsiniz (bu, iOS uygulamaları için apple-app-site-association ve Android uygulamaları için assetlinks.json gibi ilişkilendirme dosyalarının oluşturulmasıyla çalışır). WebView uygulamasıyla devam etme nedenleri şunları içerebilir:

Zaten OAuth2 tabanlı kimlik doğrulama sunuyorsunuz ve kullanıcılarınıza sunmaya devam etmek istiyorsunuz (OAuth2 yerel olarak çalışmaz, standardı burada görebilirsiniz)
Diğer kimlik doğrulama yöntemlerinizi (ör. şifreler, sosyal girişler, OAuth2) sunduğunuz aynı pencerede / ekranda geçiş anahtarı kimlik doğrulaması sunmak istiyorsunuz

Bu, Google veya GitHub'ın şu anda yerel uygulamalarında geçiş anahtarı kimlik doğrulamasını uyguladığı yoldur. Geçiş anahtarı kimlik doğrulaması için WebView'ları doğru şekilde ayarlamak için lütfen aşağıdaki öneriye bakın. Ancak, KAYAK'ın yaptığı gibi yerel bir geçiş anahtarı uygulamasını düşünmenizi ve doğrudan 2. adımla başlamanızı öneririz.

Eğer B grubuna aitseniz ve geçiş anahtarlarını yerel olarak uygulayamıyorsanız, önerimiz iOS için SFAuthenticationSession / ASWebAuthenticationSession ve Android için Chrome Custom Tabs kullanma yönündedir (aksi takdirde geçiş anahtarları zaten çalışmayacaktır).

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Aşağıda, bu önerinin nedenlerini belirtiyoruz:

5.1 Tarayıcı ile Paylaşılan Çerezler ve Veriler#

SFAuthenticationSession / ASWebAuthenticationSession, çerezleri ve web sitesi verilerini Safari ile paylaşarak kimlik doğrulama süreçleri sırasında sorunsuz bir kullanıcı deneyimi sunar. Aynısı Android'deki Chrome Custom Tabs için de geçerlidir.

Kullanıcılar, tarayıcıda kayıtlı şifrelerinden, otomatik doldurma verilerinden ve diğer depolanan bilgilerden yararlanarak kimlik doğrulama sürecini daha sorunsuz ve hızlı hale getirir.

5.2 Gelişmiş Güvenlik#

iOS'ta SFAuthenticationSession / ASWebAuthenticationSession ve Android'de Chrome Custom Tabs, kullanıcı kimlik doğrulaması için güvenli ve yalıtılmış bir alan sağlar, hassas kullanıcı kimlik bilgilerinin korunmasını ve yanlışlıkla uygulamayla veya diğer web siteleriyle paylaşılmamasını sağlar.

Apple ve Google'ın sıkı güvenlik protokollerine uyarlar, kullanıcı verilerinin güvenli bir şekilde işlenmesini ve gizliliğin korunmasını sağlarlar.

Dahası, bu tasarım seçimi Safari ve Chrome'un devam eden güvenlik güncellemelerinden ve geliştirmelerinden yararlanır, en son güvenlik standartlarına ve protokollerine uymasını sağlar.

5.3 Kullanıcı Deneyimi#

iOS'ta SFAuthenticationSession / ASWebAuthenticationSession ve Android'de Chrome Custom Tabs, kullanıcılar tarayıcının kullanıcı deneyimine alışkın olduğu için tutarlı ve tanıdık bir kullanıcı arayüzü sağlar. Ayrıca, Safari ve Chrome'un kullanıcı ayarları ve tercihleri uygulanır.

Uygulama içeriği ve web içeriği arasında sorunsuz bir geçiş sağlar, kullanıcıların arayüzler arasındaki geçişten rahatsız olmamalarını sağlar.

5.4 Performans#

Chrome Custom Tabs, Chrome'un performansından yararlanarak sorunsuz ve duyarlı bir kullanıcı deneyimi sağlar, bu da özellikle kimlik doğrulama süreçleri sırasında kullanıcı hayal kırıklığını veya terk etmeyi önlemek için çok önemlidir.

CCT'nin performansı genellikle Android WebView seçeneklerinden (iOS'ta SFAuthenticationSession / ASWebAuthenticationSession ile aynı) daha üstündür, web içeriğinin ve kimlik doğrulama akışlarının hızlı ve sorunsuz bir şekilde işlenmesini sağlar.

Chrome Custom Tabs, Android WebView ve standart Chrome tarayıcısı arasındaki performans farklarını hissetmek için Google'ın bu karşılaştırmasına da bakın.

5.5 Kimlik Doğrulama Akışlarına Özel#

SFAuthenticationSession / ASWebAuthenticationSession, özellikle OAuth / OpenID Connect tabanlı kimlik doğrulama akışlarını işlemek için tasarlanmıştır ve bu yaygın olarak kullanılan kimlik doğrulama protokolleri için kolaylaştırılmış ve güvenli bir süreç sağlar. Ayrıca WebAuthn / geçiş anahtarı kimlik doğrulaması için önerilen yoldur.

Android'de, kimlik doğrulama akışları için özel bir sınıf yoktur, ancak benzer davranış Chrome Custom Tabs ve Android App Links ile uygulanabilir.

Dahası, TikTok gibi daha fazla uygulamanın, kullanıcı kimliği doğrulandığında sadece toplayarak geçiş anahtarlarını tanıtmasını bekliyoruz. Bu, yerel olarak (TikTok'un uygulaması) veya bir WebView uygulaması aracılığıyla yapılabilir. Uygun bir yaklaşım, Koşullu Kullanıcı Arayüzünü yerel olarak tetiklemektir. Eğer işe yaramazsa, WebView uygulamasını görüntülersiniz.

6. Sonuç#

Dijital kimlik doğrulamanın modern ortamında, yerel uygulamalarda WebView aracılığıyla geçiş anahtarlarının uygulanması, güvenli ve kullanıcı dostu bir uygulamanın yol göstericisi olarak ortaya çıkmaktadır. Optimal WebView'ı seçme yolculuğu karmaşık olsa da, teknolojik seçimleri kullanıcı deneyimi ve güvenlikle uyumlu hale getirmek çok önemlidir.