Mobil uygulamalardaki WebView'lar geçiş anahtarları için neden bir zorluk teşkil ediyor?

Mobil uygulamalardaki WebView'lar geçiş anahtarları için neden bir zorluk teşkil ediyor?#

Mobil uygulamalarda web içeriklerini görüntülemek için sıkça kullandığımız WebView'lar, geçiş anahtarlarını (passkey) entegre ederken bize bazı benzersiz zorluklar çıkarıyor. Bu zorlukların temel nedeni, çoğu WebView ortamında WebAuthn özelliklerine verilen desteğin sınırlı olması.

Geçiş Anahtarları İçin WebView Kullanımındaki Temel Zorluklar#

1. Sınırlı WebAuthn Desteği#

• Birçok WebView, WebAuthn API'lerini tam olarak desteklemiyor ve bu da geçiş anahtarı işlevselliğini etkinleştirmeyi oldukça zorlaştırıyor.
• Chrome veya Safari gibi yerel tarayıcılar geçiş anahtarları konusunda WebView'lara kıyasla genellikle çok daha hazırlıklı. Alternatif olarak, iOS veya Android uygulamasında geçiş anahtarlarının yerel (native) bir entegrasyonu da tercih edilebilir.

2. Tutarsız Entegrasyonlar#

WebView yetenekleri platforma ve sürüme göre değişiklik gösteriyor:

• iOS tarafındaki WKWebView daha iyi bir destek sunsa da, yine de bazı temel WebAuthn özelliklerinden yoksun olabiliyor.
• Android tarafında ise WebView kullanımları genellikle daha tutarsız ve özel yapılandırmalar gerektirebiliyor.

3. Güvenlik Kısıtlamaları#

• WebView'lar genellikle Face ID, Touch ID veya Android'in biyometrik eşdeğerleri gibi yerel kimlik doğrulayıcılara (authenticator) erişimi sınırlayan kısıtlı ortamlara sahip.
• Bu durum da uygulamanın içinde sorunsuz bir şekilde geçiş anahtarı oluşturulmasını veya kullanılmasını engelleyebiliyor.

4. Kullanıcı Deneyimi Sorunları#

Geçiş anahtarları WebView içinde çalışmadığında, kimlik doğrulama için kullanıcıların harici bir tarayıcıya veya uygulamaya geçmesi gerekebilir; bu da giriş akışını sekteye uğratır. Genellikle en iyi geçiş anahtarı deneyimi, ilgili iOS veya Android uygulama geliştirme çerçevesinde (ör. Kotlin, Swift) yerel geçiş anahtarı entegrasyonu kullanılarak elde edilir.

WebView Zorluklarının Üstesinden Gelme Stratejileri#

1. WebView Uyumluluğunu Test Edin:
   • WebView sınırlamalarını tespit etmek için State of Passkeys verilerinden faydalanabilirsiniz.
   • Uygulamanızda kullanılan belirli WebView türlerini (örneğin WKWebView ve Android WebView) mutlaka değerlendirin.

2. Yedek (Fallback) Seçenekler:

   • Eğer WebView desteği yetersiz kalıyorsa, kullanıcıları kimlik doğrulama işlemi için yerel tarayıcılara yönlendirebilirsiniz.
   • Geçiş aşamasında alternatif çok faktörlü kimlik doğrulama (MFA) yöntemlerini de el altında bulundurun.

3. Yerel (Native) Entegrasyonu Teşvik Edin: Mümkün olan her durumda, geçiş anahtarı işlevselliği için WebView'lara güvenmek yerine yerel uygulama bileşenlerini kullanın.

4. Sağlayıcılarla Birlikte Çalışın: Gelecek güncellemelerde daha iyi WebAuthn desteği sunulması için WebView ve platform sağlayıcılarıyla iletişimde kalın.

Sonuç#

WebView'lar, kısıtlı WebAuthn desteği ve güvenlik kısıtlamaları nedeniyle geçiş anahtarları için belirgin zorluklar yaratıyor. Bu sınırlamaları anlayarak; yedek seçenekler ve yerel uygulama bileşenleri gibi stratejiler uygulayarak çok daha pürüzsüz bir geçiş anahtarı (passkey) entegrasyonu sağlayabiliriz.

Makalenin tamamını okuyun#

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →