Реалізація Session Keys для спрощення підтверджень у мобільному криптододатку

TRUETECH займається розробкою, підтримкою та обслуговуванням мобільних додатків iOS, Android, PWA. Маємо великий досвід та експертизу для публікації мобільних додатків до популярних маркетів Google Play, App Store, Amazon, AppGallery та інші.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та підтримка будь-яких видів мобільних додатків:

Інформаційні та розважальні мобільні програми
Новинки, ігри, довідники, онлайн-каталоги, погодні, фітнес та здоров'я, туристичні, освітні, соціальні мережі та месенджери, квіз, блоги та подкасти, форуми, агрегатори
Мобільні програми електронної комерції
Інтернет-магазини, B2B-додатки, маркетплейси, онлайн-обмінники, кешбек-сервіси, біржі, дропшиппінг-платформи, програми лояльності, доставка їжі та товарів, платіжні системи
Мобільні програми для управління бізнес-процесами
CRM-системи, ERP-системи, управління проектами, інструменти для команди продажів, облік фінансів, управління виробництвом, логістика та доставка, управління персоналом, системи моніторингу даних
Мобільні програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, платформи надання електронних послуг, платформи кешбеку, відеохостинги, тематичні портали, платформи онлайн-бронювання та запису, платформи онлайн-торгівлі

Це лише деякі з типів мобільних додатків, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Послуги, які ми пропонуємо
Показано 1 з 1Усі 1735 послуг
Реалізація Session Keys для спрощення підтверджень у мобільному криптододатку
Складний
~3-5 днів
Часті запитання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_mobile-applications_feedme_467_0.webp
    Розробка мобільного додатка для компанії FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Розробка мобільного додатку для компанії XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Розробка мобільного додатку для компанії RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Розробка мобільного додатку для компанії ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Розробка мобільного додатку для компанії Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Розробка мобільного додатку для компанії FLAVORS
    495
Показати більше робіт

Реалізація Session Keys для мобільного крипто-додатка

Кожну транзакцію підписувати основним ключем та біометрією — правильно з точки зору безпеки, але невиносимо в іграх, DeFi-сесіях, стрімингу платежів. Session Keys вирішують це: тимчасовий ключ з обмеженими правами та TTL підписує транзакції без підтвердження, поки не istechе термін або ліміт.

Архітектура: ERC-4337 + EIP-7715

Session Keys реалізуються на рівні смарт-аккаунту (Account Abstraction). Мобільний додаток працює з userop замість прямих транзакцій. Стек:

  • permissionless.js або @zerodev/sdk для створення смарт-аккаунту
  • @zerodev/session-key для управління сесіями
  • Bundler (Pimlico, Stackup) для надсилання UserOperation

Сесійний ключ — це ephemeral keypair (secp256k1), сгенерований на пристрої. Приватна частина зберігається в Keychain/KeyStore. Публічний ключ + політика дозволів реєструються в смарт-контракті через enableSessionKey UserOperation, підписана основним ключем (один раз, з біометрією).

Політика дозволів

Сесійний ключ не всесилен — це його головне преимущество. Політика фіксує:

const sessionKeyData = await kernelClient.createSessionKey({
  sessionKey: sessionKeyWalletClient,
  validAfter: Math.floor(Date.now() / 1000),
  validUntil: Math.floor(Date.now() / 1000) + 3600, // 1 час
  permissions: [
    {
      target: GAME_CONTRACT_ADDRESS,
      functionName: "playRound",
      valueLimit: parseEther("0.01"), // макс 0.01 ETH за транзакцію
    }
  ]
})

Контракт відхиляє будь-яку UserOperation, що виходить за рамки політики. Навіть якщо приватний ключ сесії скомпрометований — зловмисник не може вивести всі кошти.

Зберігання та життєвий цикл на мобільному

Сесійний приватний ключ живе в Keychain з kSecAttrAccessibleWhenUnlockedThisDeviceOnly — біометрія для нього не потрібна, тому що він і так обмежений політикою. TTL сесії відображається користувачу: "Сесія активна 45 хв з 60". Ручний відзив — через revokeSessionKey UserOperation, підписана основним ключем.

При закритті додатка сесійний ключ в пам'яті обнуляється, але в Keychain залишається до istechennyя TTL або явного відзиву.

Що потрібно врахувати

Bundler fees: UserOperation через Bundler коштує газ. Для сесій з частими транзакціями використовуємо Paymaster — смарт-контракт, що оплачує газ за користувача. Інтеграція з Pimlico Verifying Paymaster або Biconomy — стандартна завдання.

Не можна створити сесійний ключ без інтернету — потрібно надіслати enableSessionKey в мережу. Кешуємо sessionKeyData локально та переиспользуємо до istechennyя TTL без повторного запиту до мережі.

Сроки — 3–5 днів: ERC-4337 смарт-аккаунт (якщо нема), сесійний keypair, політика дозволів, інтеграція з Bundler/Paymaster, UI управління сесією. Якщо смарт-аккаунт вже є — 2–3 дні.