为什么移动应用中的 WebView 对 Passkey 构成挑战？

为什么移动应用中的 WebView 对 Passkey 构成挑战？#

WebView 常用于在移动应用中渲染网页内容，但在实现 Passkey 时，它们会带来一些独特的挑战。这些挑战主要源于许多 WebView 环境对 WebAuthn 功能的支持十分有限。

WebView 带来的主要 Passkey 挑战#

1. 对 WebAuthn 的支持有限#

• 许多 WebView 缺乏对 WebAuthn API 的全面支持，导致很难启用 Passkey 功能。
• 像 Chrome 或 Safari 这样的原生浏览器通常比 WebView 更具备使用 Passkey 的条件。作为替代方案，我们可以直接在 iOS 或 Android 应用中原生实现 Passkey。

2. 实现方式不一致#

WebView 功能因平台和版本而异：

• iOS 上的 WKWebView 提供了更好的支持，但可能仍然缺乏关键的 WebAuthn 功能。
• Android 的 WebView 实现通常不太一致，可能需要进行自定义配置。

3. 安全限制#

• WebView 通常处于受限环境中，限制了对本地身份验证器 (Authenticator) 的访问，比如 Face ID、Touch ID 或 Android 的同等生物识别技术。
• 这会阻碍在应用内无缝创建或使用 Passkey。

4. 用户体验问题#

如果 Passkey 无法在 WebView 中正常使用，用户可能需要切换到外部浏览器或其他应用进行身份验证，这会打断登录流程。通常来说，使用各自 iOS 或 Android 应用开发框架（如 Kotlin、Swift）原生实现 Passkey，才能获得最佳的 Passkey 用户体验。

应对 WebView 挑战的策略#

1. 测试 WebView 兼容性：
   • 利用 State of Passkeys 的数据来了解 WebView 的局限性。
   • 评估应用中使用的特定 WebView 类型（例如 WKWebView 与 Android WebView）。

2. 提供后备方案：

   • 如果 WebView 支持不足，请将用户重定向到原生浏览器进行身份验证。
   • 在过渡阶段保留备用的多因素身份验证 (MFA) 方法。

3. 鼓励原生实现： 只要条件允许，尽量使用原生应用组件来实现 Passkey 功能，而不是依赖 WebView。

4. 与供应商合作： 与 WebView 和平台提供商合作，推动在未来的更新中提供更好的 WebAuthn 支持。

总结#

由于对 WebAuthn 的支持有限且存在安全限制，WebView 对 Passkey 构成了不小的挑战。通过了解这些局限性，并采用提供后备方案和使用原生应用组件等策略，我们可以确保更顺畅地推出 Passkey。

阅读完整文章#

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →