Es importante tener un sistema de autenticación sin fricciones, seguro y de alto rendimiento para cualquier aplicación, ya sea web o móvil. En esta charla relámpago, Itai Hanski aborda la importancia de la autenticación y cómo el equipo de Descope utilizó PKCE para comunicarse entre su aplicación web React y los SDKs móviles nativos.
This talk has been presented at React Summit 2023, check out the latest edition of this React Conference.
Scope es una empresa que ofrece autenticación y gestión de usuarios como servicio. Permite personalizar la autenticación mediante un editor sin código, incluyendo la interfaz de usuario, facilitando así la integración en aplicaciones web.
Scope enfrentó el desafío de integrar su autenticación web personalizada en aplicaciones nativas sin reconstruir todo desde cero, evitando el uso de WebViews por razones de seguridad y gestionando la comunicación entre procesos aislados en dispositivos móviles.
Scope utiliza un navegador embebido y deep links para manejar la autenticación web en aplicaciones nativas. Esto permite ejecutar el flujo de autenticación en un navegador y comunicar el resultado de vuelta a la aplicación nativa de manera segura.
PKCE (Proof Key for Code Exchange) es un protocolo de seguridad diseñado para realizar intercambios seguros de claves entre un cliente y un servidor. Scope lo utiliza para asegurar que la información de autenticación pueda ser intercambiada de manera segura entre el navegador embebido y el servidor durante el proceso de autenticación en aplicaciones nativas.
Los deep links permiten a las aplicaciones móviles manejar URLs específicas y abrir directamente dentro de la aplicación en lugar del navegador. En el contexto de la autenticación, Scope los utiliza para redirigir la información de autenticación del navegador embebido a la aplicación nativa de manera segura.
Además del uso de PKCE, Scope implementa un intercambio seguro donde el verificador de clave generado no se envía directamente, sino que se compara con un hash almacenado en el servidor para validar la autenticidad y seguridad del proceso de autenticación.
Hola a todos. Mi nombre es Itay Hansky. Soy de la empresa Scope. Quiero hablar sobre la comunicación entre aplicaciones React o aplicaciones web y aplicaciones nativas o SDKs. ¿Alguna vez has creado algo genial para la web pero has querido usarlo en una aplicación nativa?
Hola a todos. Mi nombre es Itay Hansky. Soy de la empresa Scope. Y vine a hablar un poco sobre la comunicación entre aplicaciones React o aplicaciones web en general y aplicaciones nativas o SDKs. Quiero comenzar con una pregunta para que entiendan hacia dónde voy con esto. ¿Alguna vez has creado algo para la web que fuera realmente genial, pero has querido usarlo dentro de una aplicación nativa? Bueno, eso es exactamente lo que nos pasó en Scope, donde ofrecemos autenticación y gestión de usuarios como servicio. Y una de nuestras características más geniales es que puedes personalizar tu propia autenticación en nuestro editor sin código, incluyendo la interfaz de usuario y todo, y con unas pocas líneas de integración, tener una pantalla de inicio de sesión muy bonita y autenticación en tus aplicaciones web, lo cual es realmente genial, pero no queríamos dejar atrás a nuestros desarrolladores de aplicaciones nativas, así que pensamos, ¿cómo podemos llevar esta gran capacidad a nuestros desarrolladores nativos? Lo primero que consideramos fue construirlo desde cero, ¿verdad? El problema es que requiere mucho esfuerzo, tiempo y recursos, y pensamos que podríamos usarlos mejor en otro lugar.
Consideramos incrustar el código web dentro de un WebView, pero los WebViews no son seguros y algunos métodos de autenticación no funcionarán. Por lo tanto, decidimos ejecutar el navegador en un modo incrustado, haciéndolo sentir como parte de la aplicación. Sin embargo, los procesos móviles están aislados, por lo que no podemos acceder a los datos entre procesos. Para resolver esto, utilizamos deep links para manejar ciertas URL dentro de la aplicación. También implementamos Pixie, un protocolo de intercambio de código de prueba de clave, para intercambiar datos de manera segura entre el código web y las aplicaciones nativas.
Sé que algunos de ustedes se identificarán. Entonces, lo siguiente que consideramos fue, ¿qué tal si simplemente lo tomamos e incrustamos dentro de nuestra interfaz de usuario utilizando un WebView? Para aquellos que no lo saben, un WebView es básicamente un widget de interfaz de usuario que ejecuta una versión en miniatura del navegador, por lo que podemos hacer que el código web se ejecute allí. El problema es que los WebViews se consideran inseguros y, de hecho, algunos de nuestros métodos de autenticación simplemente no se ejecutarán si se ejecutan dentro de un WebView.
Entonces nos quedamos con el navegador, pero afortunadamente para nosotros, podemos ejecutar el navegador en un modo incrustado, lo que se siente un poco mejor para el usuario. No parece que estés saliendo de la aplicación cuando realmente cambias al navegador. Parece que es parte de la aplicación, aunque técnicamente se está ejecutando en un proceso diferente.
Bien, genial. Entonces tenemos nuestras soluciones listas, así que supongo que todo lo que tenemos que hacer es lanzar nuestro navegador incrustado, Safari o Chrome, y ejecutar nuestro flujo, y luego obtener la devolución de llamada de alguna manera en nuestro código nativo o ejecutar algún JavaScript o hackearlo. Bueno, desafortunadamente, los procesos móviles están completamente aislados. Eso significa en términos simples que no puedes acceder realmente a los datos entre procesos, y eso es una buena noticia para nosotros, los usuarios del teléfono móvil, porque de lo contrario las cosas serían un desastre.
Entonces, ¿qué podemos hacer? Podemos iniciar el navegador, podemos lanzarlo, ¿verdad? Entonces, ¿cómo obtendríamos algo de vuelta en la capa nativa? Podemos utilizar deep links. Los deep links son una forma para que las aplicaciones móviles declaren que pueden manejar ciertas URL en lugar de abrirlas en el navegador. Piensa en la última vez que recibiste un mensaje de texto con un enlace de YouTube y cuando hiciste clic en él, se abrió la aplicación, ¿verdad? No el navegador. Es el mismo concepto aquí.
Bien, genial. Ahora tenemos una forma de volver a nuestro código nativo, pero no podemos simplemente enviar la sesión en la URL de redireccionamiento porque eso es completamente inseguro. Deberíamos tener algún tipo de protocolo de intercambio en su lugar, y ahí es donde entra Pixie. Pixie o PKCE es un protocolo interesante. Significa Proof-of-Key Code Exchange (Intercambio de Código de Prueba de Clave), y puedes implementarlo en cualquier momento que lo necesites. Está orientado hacia dispositivos móviles, pero no necesariamente. Voy a explicar los principios de Pixie en general para que lo entendamos, y luego te mostraré cómo lo usamos para ejecutar flujos en nuestras aplicaciones nativas. Entonces, Pixie funciona así. El cliente genera el código. Esto se considera una clave. Es solo una matriz aleatoria de bytes y se realiza un hash de esta clave. Este hash es donde todo comienza. Esto se considera el desafío. Este desafío se envía al servidor. La comunicación es base64. Pero no quiero centrarme en eso, porque es solo una capa de cifrado y no es interesante.
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
TechLead Conference 2023
React Summit 2023
JSNation 2023
React Advanced 2023
React Advanced 2023
React Advanced 2022
Node Congress 2024
React Advanced 2022
React Summit 2022
React Summit Remote Edition 2021React Summit Remote Edition 2021
React Summit 2023
Comments