X 是一款社群媒體應用程式,提供即時評論,協助全球近 5 億名使用者掌握突發新聞、娛樂、體育和政治等各類資訊的完整脈絡。最近,X 開發人員重新設計了 Android 應用程式的登入程序,確保使用者不會錯過感興趣的對話。該團隊使用 Credential Manager API 實作新的密碼金鑰驗證機制,讓使用者能更快速、輕鬆且安全地存取應用程式。
使用密碼金鑰簡化登入流程
如今,傳統的密碼驗證系統安全性較低,更容易遭到網路攻擊。許多使用者經常選擇容易猜中的密碼,惡意行為者可輕易透過暴力破解攻擊破解。他們也會在多個帳戶重複使用同一組密碼,因此只要一組密碼遭到入侵,所有帳戶都會受到影響。
密碼金鑰完全不需要密碼,可解決密碼強度不足和網路釣魚攻擊等日益嚴重的帳戶安全問題。這項功能可提供更安全流暢的登入體驗,讓使用者不必記憶使用者名稱或密碼。
X 安全主管 Kylie McRoberts 表示:「密碼金鑰是更簡單安全的登入方式,可使用 PIN 碼或生物辨識資料 (例如指紋或臉部辨識) 取代密碼。」「我們研究如何使用密碼金鑰,讓使用者登入時更輕鬆安全,不必費心記住密碼,就能保護帳戶安全。」
自從導入密碼金鑰後,X 團隊發現登入時間大幅縮短,且登入流程指標也顯示有所改善。與僅使用密碼的情況相比,應用程式的登入成功率提高了一倍。此外,啟用密碼金鑰後,使用者要求重設密碼的次數也減少了。
X 開發人員表示,採用密碼金鑰不僅能提升安全性及簡化登入體驗,還能降低成本及改善使用者體驗。
Kylie 表示:「密碼金鑰提供強大的固有驗證功能,因此我們得以減少簡訊雙重驗證的相關費用。「登入程序簡單易用,使用者不必費心記住或重設密碼,因此更願意使用我們的平台。」
密碼金鑰會使用公開金鑰密碼編譯技術驗證使用者身分,並提供私密金鑰。也就是說,網站和應用程式可以查看及儲存公開金鑰,但無法查看及儲存私密金鑰,因為私密金鑰會經過加密,並由使用者的憑證供應商儲存。由於金鑰是獨一無二的,且與網站或應用程式綁定,因此不會遭到網路釣魚攻擊,可提升安全性。
使用 Credential Manager API 完美整合
X 開發人員使用 Android 的 Credential Manager API 整合密碼金鑰,Kylie 表示這個過程「非常順利」。這項 API 將 Smart Lock、One Tap 和 Google 登入功能整合為單一簡化工作流程。開發人員也因此移除數百行程式碼,加快實作速度並減少維護負擔。
最後,X 開發人員只花了兩週就完成遷移至 Credential Manager 的作業,接著又花了兩週的時間,全面支援密碼金鑰。X 的工程師 Saurabh Arora 表示,這次「遷移作業非常快速」,團隊「沒想到會這麼簡單直接」。Credential Manager 採用簡單的協同程式輔助 API,因此處理多種驗證選項的複雜性大幅降低,程式碼、錯誤可能性和開發人員工作量也隨之減少。
X 開發人員整合 Credential Manager API 後,開發速度大幅提升。透過 Credential Manager API 改用密碼金鑰後,他們獲得了以下成果:
- 驗證模組的程式碼減少 80%
- 解決 90% 的舊版極端情況錯誤
- GIS、One Tap 和 Smart Lock 處理程式碼減少 85%
使用 Credential Manager API 的頂層方法 (例如 createCredential 和 getCredential),可移除個別通訊協定周圍的自訂邏輯複雜度,簡化整合程序。這種統一做法也代表 X 開發人員可以使用單一且一致的介面,處理各種驗證類型,例如密碼金鑰、密碼和聯合登入 (如「使用 Google 帳戶登入」)。
Saurabh 表示:「透過 Credential Manager 簡單的 API 方法,我們只需單一呼叫即可擷取密碼金鑰、密碼和聯合權杖,減少分支邏輯,讓回應處理作業更簡潔。「使用 createCredential() 和 getCredential() 等不同的 API 方法,也簡化了憑證儲存空間,讓我們可以在同一個位置處理密碼和密碼金鑰。」
X 開發人員採用 Credential Manager API 導入「使用 Google 帳戶登入」功能時,並未遇到太多困難。以較簡單的 Credential Manager 實作方式,取代 X 先前的 Google 登入、One Tap 和 Smart Lock 程式碼,開發人員就不必再處理連線或中斷連線狀態和 Activity 結果,減少錯誤空間。
密碼金鑰的未來
X 整合密碼金鑰的案例顯示,要打造更安全易用的驗證體驗並非難事。X 開發人員運用 Credential Manager API 簡化整合程序、減少潛在錯誤,並提升安全性及開發速度,同時改善使用者體驗。
Saurabh 表示:「我們建議有意整合密碼金鑰的開發人員善用 Credential Manager API。「這項功能確實簡化了程序,並減少您需要編寫及維護的程式碼,讓開發人員能更輕鬆地導入。」
X 預計在未來進一步提升使用者體驗,允許使用者只透過密碼金鑰註冊,並提供專屬的密碼金鑰管理畫面。
開始使用
瞭解如何使用密碼金鑰和 Credential Manager API,提升應用程式的登入使用者體驗。
撰寫者:
繼續閱讀
-
個案研究
Uber 運用 Android 憑證還原 API 簡化新裝置登入程序,預計每年可減少 400 萬次手動登入,並提高使用者留存率。
Niharika Arora • 5 分鐘可讀完
-
個案研究
Zoho 是一套以安全性和流暢體驗為主的雲端軟體,在 OneAuth Android 應用程式中採用密碼金鑰後,成效大幅提升。
Niharika Arora, Joseph Lewis • 閱讀時間:10 分鐘
-
個案研究
Monzo 是英國數位銀行,目前有 1,500 萬名客戶,且人數持續增加中。隨著應用程式規模擴大,工程團隊發現應用程式啟動時間是需要改善的關鍵領域,但擔心這會需要大幅變更程式碼集。
Ben Weiss • 閱讀時間:2 分鐘
隨時掌握最新消息
每週透過電子郵件接收最新的 Android 開發洞察資訊。
