Passkey cho ứng dụng gốc: So sánh triển khai Native và WebView

Xác thực là yếu tố cốt lõi, bảo vệ dữ liệu người dùng và đảm bảo các tương tác an toàn trong các ứng dụng gốc. Sự ra đời của passkey đã cách mạng hóa lĩnh vực này, cung cấp một cơ chế xác thực mạnh mẽ và thân thiện với người dùng. Có hai cách chính để tích hợp passkey vào ứng dụng gốc, thông qua triển khai native hoặc qua WebView. Trước tiên, hãy cùng xem xét và so sánh hai cách này.

Triển khai native thường được xem là mang lại trải nghiệm người dùng tốt nhất trong một ứng dụng. Nó được đặc trưng bởi các tương tác người dùng mượt mà, tích hợp và liền mạch, được thiết kế chính xác cho môi trường của hệ điều hành, dù là iOS hay Android. Yêu cầu để có một triển khai 100% native là loại bỏ 100% mật khẩu và thực sự chỉ dùng passkey. Cách tiếp cận này giúp bạn thoát khỏi những phiền toái tiềm ẩn khi chuyển đổi giữa ứng dụng gốc và nội dung web (hiển thị qua WebView).

Khi phát triển một ứng dụng gốc, con đường để đi hoàn toàn native không phải lúc nào cũng khả thi. Trong các trường hợp bạn vẫn cần hỗ trợ xác thực dựa trên mật khẩu sử dụng OAuth2, việc tích hợp hoàn toàn native có thể không thực hiện được, khiến việc triển khai WebView trở thành giải pháp thay thế duy nhất. WebView hoạt động như một cầu nối, nhúng nội dung web trực tiếp vào ứng dụng của bạn, cung cấp trải nghiệm người dùng giống như trình duyệt khi điều hướng qua các trang web. Điều này đặc biệt phù hợp nếu bạn là nhà cung cấp OAuth2, giải pháp xác thực cơ bản của bạn dựa trên OAuth2 hoặc nếu giải pháp đăng nhập của bạn sử dụng các phương thức đăng nhập mạng xã hội qua bên thứ ba, chẳng hạn như Google hoặc GitHub. Trong những trường hợp này, việc sử dụng WebView trở nên không thể tránh khỏi do nhu cầu tương tác với nội dung web và quản lý các luồng xác thực người dùng khác nhau, đặc biệt khi cần có các liên kết ứng dụng gốc.

Về cơ bản, trong khi triển khai native mang lại trải nghiệm người dùng mượt mà không gì sánh bằng, chúng không phải lúc nào cũng là một lựa chọn khả thi, đặc biệt khi kết hợp với các giải pháp xác thực dựa trên mật khẩu hoặc OAuth2. Mặt khác, việc triển khai WebView cung cấp một con đường linh hoạt, mặc dù kém liền mạch hơn một chút, để tích hợp nội dung web và quản lý xác thực người dùng trong ứng dụng của bạn, đảm bảo bạn có thể điều hướng sự phức tạp của các luồng xác thực khác nhau và đăng nhập của bên thứ ba.

Các phần tiếp theo của bài viết này tập trung vào việc triển khai qua WebView. Để tìm hiểu thêm về tích hợp passkey native, vui lòng xem tại đây.

Khi điều hướng qua mê cung xác thực trong các ứng dụng gốc, các nhà phát triển và quản lý sản phẩm phải đối mặt với một quyết định quan trọng: triển khai xác thực passkey theo cách native hay qua WebView. Nếu quyết định chọn cách thứ hai, cả hai nền tảng iOS và Android đều cung cấp hai loại WebView riêng biệt, mỗi loại có các thuộc tính và trường hợp sử dụng tiềm năng riêng.

• WKWebView
• SFSafariViewController
• SFAuthenticationSession / ASWebAuthenticationSession (được thiết kế đặc biệt cho các luồng xác thực dựa trên OAuth / OpenID Connect)

• WebView
• Chrome Custom Tabs (CCT)

Trong các phần sau, chúng ta sẽ đi sâu hơn vào các loại WebView này và cuối cùng hướng dẫn bạn đưa ra quyết định sáng suốt về việc nên sử dụng WebView nào để xác thực bằng passkey trong các ứng dụng gốc của mình (nếu việc triển khai hoàn toàn native không phải là một giải pháp thay thế).

WebView trên iOS có thể là WKWebView hoặc SFSafariViewController (nếu làm việc với OAuth / OIDC, đó là SFAuthenticationSession / ASWebAuthenticationSession).

Để kiểm tra các hành vi WebView khác nhau trên iOS, chúng tôi đề xuất ứng dụng WebView - WKWebView and UIWebView rendering.

WKWebView là một tùy chọn WebView mạnh mẽ và linh hoạt dành cho các nhà phát triển iOS. Được giới thiệu cùng với iOS 8, nó cho phép các nhà phát triển nhúng nội dung web trực tiếp vào ứng dụng, cung cấp một loạt các tùy chọn tùy chỉnh và cấu hình. WKWebView nổi tiếng về hiệu suất, sử dụng cùng một công cụ kết xuất web như Safari, và cung cấp một bộ API phong phú để tương tác với nội dung web, quản lý điều hướng, tương tác người dùng, và nhiều hơn nữa.

SFSafariViewController là một WebView cho phép các nhà phát triển tận dụng các khả năng của Safari trực tiếp trong ứng dụng của họ. Nó cung cấp một trải nghiệm người dùng liền mạch bằng cách sử dụng các cài đặt Safari của người dùng, chẳng hạn như mật khẩu đã lưu, passkey, cookie, và nhiều hơn nữa, đảm bảo việc duyệt web nhất quán, bởi vì nó thực sự chạy như một ứng dụng Safari. SFSafariViewController không tùy biến được như WKWebView nhưng cung cấp các tính năng bảo mật nâng cao và dễ sử dụng, làm cho nó trở thành một lựa chọn ưu tiên để hiển thị nội dung web đơn giản trong các ứng dụng.

SFAuthenticationSession và ASWebAuthenticationSession là các WebView được thiết kế đặc biệt cho các luồng xác thực dựa trên OAuth / OpenID Connect. Chúng cung cấp một không gian an toàn và cô lập để xác thực người dùng, bảo vệ thông tin đăng nhập của người dùng và đảm bảo rằng thông tin cá nhân không vô tình bị chia sẻ với ứng dụng. Các session này chia sẻ cookie và dữ liệu trang web với Safari, mang lại trải nghiệm người dùng nhất quán và liền mạch, đặc biệt là trong các quy trình xác thực.

Ưu điểm:

• Xác thực chuyên dụng: Được thiết kế đặc biệt cho các luồng xác thực dựa trên OAuth / OpenID Connect, đảm bảo một quy trình xác thực được sắp xếp hợp lý.
• Bảo vệ quyền riêng tư: Đảm bảo quyền riêng tư dữ liệu người dùng bằng cách không chia sẻ cookie hoặc dữ liệu trang web với ứng dụng.
• Hỗ trợ SSO: Hỗ trợ Đăng nhập một lần (Single Sign-On), mang lại trải nghiệm người dùng tiện lợi.

Nhược điểm:

• Trường hợp sử dụng hạn chế: Chủ yếu tập trung vào xác thực OAuth / OpenID Connect, có thể không phù hợp với tất cả các trường hợp sử dụng.

Khi nhiệm vụ chính là xác thực người dùng, đặc biệt là khi triển khai SSO hoặc tương tác với các nhà cung cấp OAuth, bạn nên sử dụng SFAuthenticationSession / ASWebAuthenticationSession thay vì SFSafariViewController.

WebView trên Android có thể là WebView hoặc Chrome Custom Tabs (CCT). Để kiểm tra các hành vi WebView khác nhau trên Android, chúng tôi đề xuất ứng dụng WebView vs Chrome Custom Tabs.

WebView trên Android là một thành phần toàn diện cho phép các nhà phát triển hiển thị nội dung web như một phần của giao diện người dùng ứng dụng. Nó rất linh hoạt, cung cấp một loạt các tùy chọn tùy chỉnh và mang lại cho các nhà phát triển sự linh hoạt để cấu hình WebView cho phù hợp với các nhu cầu khác nhau. WebView cung cấp một bộ API phong phú để tương tác với nội dung web, quản lý tương tác người dùng, và thậm chí xử lý các hộp thoại JavaScript, chứng chỉ máy khách và yêu cầu quyền.

Chrome Custom Tabs (CCT) cung cấp một cách liền mạch, an toàn và hiệu quả để tích hợp nội dung web trực tiếp vào ứng dụng của bạn. Bằng cách tận dụng các khả năng và tính năng bảo mật của Chrome, CCT mang lại trải nghiệm người dùng vừa nhất quán vừa có hiệu suất cao.

CCT là một thành phần của trình duyệt Chrome, được thiết kế để tích hợp với framework Android, cho phép các ứng dụng mở nội dung web trong một tiến trình nhẹ, chuyên dụng. Đáng chú ý, nó mở nhanh hơn một trình duyệt thông thường và khi được tải trước thông qua lệnh gọi warm-up, nó có khả năng vượt trội hơn một WebView. Mặc dù nó thực thi JavaScript, nó hoạt động trong tiến trình riêng của mình, bảo vệ các ứng dụng khỏi việc chạy mã độc. Hơn nữa, giao diện người dùng của CCT cung cấp một thanh hành động, hiển thị URL và một biểu tượng khóa xác minh SSL cho các trang an toàn, qua đó trấn an người dùng về tính xác thực và bảo mật của trang đang được tải.

Nói chung, có thể nói rằng iOS WKWebView và Android WebView, cũng như SFSafariViewController và Chrome Custom Tabs (CCT) là tương tự nhau.

Khách hàng của chúng tôi liên tục hỏi về cách triển khai passkey trong các ứng dụng gốc. Phần lớn những khách hàng này có thể được chia thành các nhóm khác nhau:

Nhóm A:

Khách hàng bắt đầu xây dựng ứng dụng gốc của họ từ đầu và có thể sử dụng trực tiếp xác thực không mật khẩu của chúng tôi (không tồn tại mật khẩu cũ).

Nhóm B:

Khách hàng có người dùng hiện tại và một giải pháp xác thực hiện có. Thường thì họ cũng đã có một ứng dụng web hiện có cũng cần thêm passkey vào quy trình xác thực của nó. Ở đây, nhiều công ty quyết định thực hiện một quy trình hai bước:

1. Thêm passkey vào luồng xác thực WebView hiện có của bạn (đó là cách Google và GitHub đã triển khai nó trong các ứng dụng gốc của họ)
2. Thêm passkey thông qua triển khai native lên trên. Việc triển khai passkey native này sẽ kiểm tra trước WebView cũ (ví dụ: cho đăng nhập mạng xã hội và mật khẩu) xem người dùng có thể đăng nhập bằng passkey hay không (đó là cách KAYAK đã triển khai nó trong ứng dụng gốc của họ).

Xác định nhóm của bạn

Để cung cấp cho người dùng của bạn việc triển khai passkey tốt nhất trong một ứng dụng gốc, bạn cần quyết định mình thuộc nhóm nào, dựa trên thiết lập kỹ thuật hiện tại của bạn và cách bạn muốn thúc đẩy passkey (câu hỏi này có liên quan đến các công ty trong nhóm B).

Khuyến nghị cho Nhóm A: Triển khai Native

Nếu bạn đang xây dựng một ứng dụng hoàn toàn mới (nhóm A), chúng tôi khuyên bạn nên đi theo hướng triển khai passkey native và hoàn toàn không dùng mật khẩu ngay từ đầu (do đó không sử dụng bất kỳ loại WebView nào). Vui lòng sử dụng các SDK & API gốc cho iOS và Android (ví dụ: thông qua gói passkeys Flutter). Vui lòng đọc thêm bài viết này về ID Bên Tin cậy (Relying Party ID).

Khuyến nghị cho Nhóm B: Đầu tiên là WebView, sau đó là Triển khai Native

Nếu bạn không thể triển khai passkey native ngay hôm nay vì bất kỳ lý do gì (nhóm B), bạn có thể bắt đầu với việc triển khai WebView và sau đó trong tương lai chuyển sang triển khai passkey native (điều này hoạt động thông qua việc tạo các tệp liên kết, như apple-app-site-association cho ứng dụng iOS và assetlinks.json cho ứng dụng Android). Lý do để đi theo hướng triển khai WebView có thể bao gồm:

• Bạn đã cung cấp xác thực dựa trên OAuth2 và muốn tiếp tục cung cấp nó cho người dùng của mình (OAuth2 không hoạt động native, xem tiêu chuẩn tại đây)
• Bạn muốn cung cấp xác thực passkey trong cùng một cửa sổ / màn hình, nơi bạn cung cấp các phương thức xác thực khác của mình (ví dụ: mật khẩu, đăng nhập mạng xã hội, OAuth2)

Đây là cách mà Google hoặc GitHub hiện đang triển khai xác thực passkey trong các ứng dụng gốc của họ. Vui lòng xem khuyến nghị dưới đây để thiết lập WebView một cách chính xác cho việc xác thực bằng passkey. Tuy nhiên, chúng tôi khuyên bạn nên xem xét việc triển khai passkey native như KAYAK đã làm và bắt đầu trực tiếp với bước 2.

Nếu bạn thuộc nhóm B và không thể triển khai passkey native, khuyến nghị của chúng tôi nghiêng về việc sử dụng SFAuthenticationSession / ASWebAuthenticationSession cho iOS và Chrome Custom Tabs cho Android (nếu không thì passkey cũng sẽ không hoạt động).

Sau đây, chúng tôi nêu lý do cho khuyến nghị này:

SFAuthenticationSession / ASWebAuthenticationSession chia sẻ cookie và dữ liệu trang web với Safari, mang lại trải nghiệm người dùng liền mạch trong các quy trình xác thực. Điều tương tự cũng áp dụng cho Chrome Custom Tabs trên Android.

Người dùng được hưởng lợi từ mật khẩu đã lưu, dữ liệu tự động điền và các thông tin được lưu trữ khác trong trình duyệt, giúp quá trình xác thực mượt mà và nhanh chóng hơn.

SFAuthenticationSession / ASWebAuthenticationSession trên iOS và Chrome Custom Tabs trên Android cung cấp một không gian an toàn và cô lập để xác thực người dùng, đảm bảo rằng thông tin đăng nhập nhạy cảm của người dùng được bảo vệ và không vô tình bị chia sẻ với ứng dụng hoặc các trang web khác.

Chúng tuân thủ các giao thức bảo mật nghiêm ngặt của Apple và Google, đảm bảo rằng dữ liệu người dùng được xử lý an toàn và quyền riêng tư được duy trì.

Hơn nữa, lựa chọn thiết kế này được hưởng lợi từ các bản cập nhật và cải tiến bảo mật liên tục của Safari và Chrome, đảm bảo rằng nó tuân thủ các tiêu chuẩn và giao thức bảo mật mới nhất.

SFAuthenticationSession / ASWebAuthenticationSession trên iOS và Chrome Custom Tabs trên Android cung cấp một giao diện người dùng nhất quán và quen thuộc, vì người dùng đã quen với trải nghiệm người dùng của trình duyệt. Bên cạnh đó, các cài đặt và tùy chọn người dùng của Safari và Chrome cũng được áp dụng.

Nó cung cấp một sự chuyển đổi mượt mà giữa nội dung ứng dụng và nội dung web, đảm bảo rằng người dùng không bị gián đoạn bởi sự thay đổi giữa các giao diện.

Chrome Custom Tabs tận dụng hiệu suất của Chrome, đảm bảo trải nghiệm người dùng mượt mà và phản hồi nhanh, điều này đặc biệt quan trọng trong các quy trình xác thực để ngăn chặn sự thất vọng hoặc từ bỏ của người dùng.

Hiệu suất của CCT thường vượt trội so với các tùy chọn Android WebView (tương tự với SFAuthenticationSession / ASWebAuthenticationSession trên iOS), đảm bảo rằng nội dung web và các luồng xác thực được xử lý nhanh chóng và mượt mà.

Hãy xem thêm so sánh này của Google để cảm nhận sự khác biệt về hiệu suất giữa Chrome Custom Tabs, Android WebView và trình duyệt Chrome tiêu chuẩn.

SFAuthenticationSession / ASWebAuthenticationSession được thiết kế đặc biệt để xử lý các luồng xác thực dựa trên OAuth / OpenID Connect, đảm bảo một quy trình được sắp xếp hợp lý và an toàn cho các giao thức xác thực được sử dụng rộng rãi này. Đây cũng là cách được khuyến nghị cho xác thực WebAuthn / passkey.

Trên Android, không có lớp chuyên dụng cho các luồng xác thực nhưng hành vi tương tự có thể được triển khai với Chrome Custom Tabs và Android App Links.

Hơn nữa, chúng tôi kỳ vọng sẽ có nhiều ứng dụng giới thiệu passkey như TikTok bằng cách chỉ thu thập chúng khi người dùng đã được xác thực. Điều này có thể được thực hiện native (triển khai của TikTok) hoặc thông qua triển khai WebView. Một cách tiếp cận phù hợp là kích hoạt Giao diện người dùng có điều kiện (Conditional UI) một cách native. Nếu không hoạt động, bạn sẽ hiển thị triển khai WebView.

Trong bối cảnh xác thực kỹ thuật số hiện đại, việc triển khai passkey qua WebView trong các ứng dụng gốc nổi lên như một ngọn hải đăng của thực tiễn an toàn và thân thiện với người dùng. Mặc dù hành trình lựa chọn WebView tối ưu có thể phức tạp, nhưng điều cốt yếu là phải điều chỉnh các lựa chọn công nghệ phù hợp với trải nghiệm người dùng và bảo mật.