Аутентификация в мобильных приложениях
Приложение банка: пользователь вводит PIN, сервер отвечает JWT, токен сохраняется в SharedPreferences как plain text. Это не гипотетический пример — это реальная история нескольких финтех-стартапов. SharedPreferences читается любым приложением с root-доступом на Android без дополнительных разрешений. На iOS аналог — сохранение токена в UserDefaults вместо Keychain.
Аутентификация в мобайле сложнее, чем в вебе: нет HttpOnly cookie, нет сессионного механизма браузера, есть специфика платформенного хранилища и биометрии.
Хранение токенов: Keychain и Android Keystore
iOS Keychain — зашифрованное хранилище на уровне ОС. Данные защищены Secure Enclave на устройствах с Face ID/Touch ID. Правильный сценарий: JWT refresh token хранится в Keychain с атрибутом kSecAttrAccessibleWhenUnlockedThisDeviceOnly — токен доступен только когда устройство разблокировано и не переносится при восстановлении из iCloud-бэкапа.
// Сохранение в Keychain через Security framework
let query: [String: Any] = [
kSecClass as String: kSecClassGenericPassword,
kSecAttrService as String: "com.yourapp.auth",
kSecAttrAccount as String: "refresh_token",
kSecValueData as String: tokenData,
kSecAttrAccessible as String: kSecAttrAccessibleWhenUnlockedThisDeviceOnly
]
SecItemAdd(query as CFDictionary, nil)
Android Keystore System — аппаратный (или программный на старых устройствах) модуль хранения криптографических ключей. Ключи нельзя экспортировать — операции шифрования/расшифровки происходят внутри Keystore. Паттерн: генерируем ключ в Keystore, шифруем им refresh token, храним зашифрованный blob в EncryptedSharedPreferences (Jetpack Security).
EncryptedSharedPreferences — это обёртка над SharedPreferences с шифрованием через Keystore. Добавляется за 5 минут, устраняет класс уязвимостей, который встречается в половине Android-приложений.
Биометрическая аутентификация
iOS LocalAuthentication. LAContext.evaluatePolicy(.deviceOwnerAuthenticationWithBiometrics) — стандартный вызов для Face ID / Touch ID. Интегрируется с Keychain через kSecAccessControl с флагом .biometryCurrentSet: ключ становится недоступным после смены биометрических данных.
Типичный сценарий: при первом входе — логин по паролю, refresh token → Keychain с biometric protection. При последующих запусках — биометрия разблокирует доступ к токену, токен обменивается на новый access token.
Android BiometricPrompt. Единый API для отпечатка пальца, лица и радужки. BiometricManager.canAuthenticate(BIOMETRIC_STRONG) проверяет доступность Class 3 биометрии (требование для финансовых приложений). BIOMETRIC_STRONG + Keystore-ключ с setUserAuthenticationRequired(true) — ключ используется только после успешной биометрии в текущей сессии.
OAuth 2.0 и PKCE
OAuth 2.0 Authorization Code Flow с PKCE (Proof Key for Code Exchange) — стандарт для мобильных приложений. Implicit Flow официально устарел в RFC 8252.
PKCE добавляет code_verifier (случайная строка) и code_challenge (SHA-256 от verifier). Сервер авторизации проверяет соответствие при обмене code на token. Это защищает от перехвата authorization code через кастомную URL-схему.
iOS: ASWebAuthenticationSession — системный браузер для OAuth. Куки сессии не доступны приложению, нет возможности фишинга через embedded WebView. Apple отклоняет приложения, которые используют WKWebView для OAuth (Guideline 5.1.1).
Android: AppAuth-Android — стандартная библиотека для OAuth/OIDC с PKCE поддержкой. Custom Tabs (Chrome) вместо WebView — тот же принцип безопасности.
Sign in with Apple и Google Sign-In
Sign in with Apple обязателен, если приложение предлагает любой другой способ входа через третью сторону (Google, Facebook). Apple требует его с 2019 года, нарушение — rejection по Guideline 4.8.
Особенность: Apple может скрыть реальный email пользователя, предоставив relay-адрес ([email protected]). Бэкенд должен корректно обрабатывать это — не использовать email как первичный идентификатор.
ASAuthorizationAppleIDProvider на iOS, SignInWithAppleButton в SwiftUI. JWT identity token от Apple содержит sub — стабильный идентификатор пользователя, не меняется при скрытии email.
Google Sign-In. На Android — через Credential Manager API (заменил прежний GoogleSignIn API с Android 14). На iOS — GoogleSignIn SDK, который открывает Safari или Google App для авторизации.
2FA и одноразовые пароли
TOTP (Time-based One-Time Password, RFC 6238) — стандарт для 2FA. base32-кодированный секрет генерируется на сервере, пользователь сканирует QR в Google Authenticator или Authy.
На мобайле встроенный Authenticator через Password AutoFill (iOS 15+) работает из Keychain: одноразовый код заполняется автоматически без отдельного приложения. Для этого поле OTP должно иметь textContentType = .oneTimeCode.
SMS OTP — наименее безопасный вариант (SIM-swapping), но наиболее конверсионный для пользователей. Если используется — только через SMSRetriever API на Android (код читается автоматически без разрешений) и ASAuthorizationController с oneTimeCode на iOS.
JWT: access и refresh токены
Паттерн: короткоживущий access token (15 минут — 1 час) + долгоживущий refresh token (30–90 дней). Access token в памяти (in-memory — не в Keychain), refresh token в Keychain/EncryptedSharedPreferences.
Silent refresh: при получении 401 — автоматический запрос нового access token с refresh token. Если refresh token истёк — принудительный логин.
Rotation refresh tokens: каждый обмен refresh token на access token выдаёт новый refresh token. Старый инвалидируется. Если старый refresh token попытался использоваться — компрометация, все токены пользователя отзываются.
Типичные ошибки
- Хранение токенов в
UserDefaults/SharedPreferences— читаются без root на рутованных устройствах - Отсутствие certificate pinning в high-security приложениях — MITM через корпоративный proxy
- Хранение секретов в
Info.plistилиBuildConfig— декомпилируются тривиально - OAuth через
WKWebView/WebViewвместо системного браузера — rejection App Store + security risk - Неправильный
kSecAttrAccessible— токен в Keychain сkSecAttrAccessibleAlwaysне требует разблокировки устройства
Сроки
Реализация аутентификации занимает от 1 до 4 недель в зависимости от набора методов: логин по email/паролю, OAuth (Google, Apple), биометрия, 2FA. Бэкенд для auth часто отдельный микросервис или Auth0 / Firebase Auth как BaaS. Стоимость рассчитывается после уточнения требований к безопасности и набору методов входа.