Từ tin tức nóng hổi và nội dung giải trí đến thể thao và chính trị, X là một ứng dụng mạng xã hội nhằm mục đích giúp gần 500 triệu người dùng trên toàn thế giới nắm bắt toàn bộ câu chuyện cùng với mọi bình luận trực tiếp. Gần đây, các nhà phát triển của X đã cải tiến quy trình đăng nhập của ứng dụng Android để người dùng không bỏ lỡ những cuộc trò chuyện mà họ quan tâm. Bằng cách sử dụng Credential Manager API, nhóm đã triển khai phương thức xác thực mới bằng khoá truy cập để truy cập vào ứng dụng nhanh hơn, dễ dàng hơn và an toàn hơn.

Đơn giản hoá quy trình đăng nhập bằng khoá truy cập

Ngày nay, các hệ thống xác thực truyền thống dựa trên mật khẩu kém an toàn hơn và dễ bị tấn công mạng hơn. Nhiều người dùng thường chọn mật khẩu dễ đoán, và những kẻ xấu có thể dễ dàng xâm nhập bằng cách sử dụng các cuộc tấn công dò tìm mật khẩu. Họ cũng dùng lại cùng một mật khẩu cho nhiều tài khoản, tức là nếu một mật khẩu bị xâm nhập, thì tất cả các tài khoản đều bị xâm phạm.

Khoá truy cập giải quyết mối lo ngại ngày càng tăng về tính bảo mật của tài khoản do mật khẩu yếu và các cuộc tấn công lừa đảo bằng cách loại bỏ hoàn toàn nhu cầu sử dụng mật khẩu. Tính năng này mang lại trải nghiệm đăng nhập an toàn và liền mạch hơn, giúp người dùng không phải nhớ tên người dùng hoặc mật khẩu.

Kylie McRoberts, người đứng đầu bộ phận an toàn tại X, cho biết: "Khoá truy cập là một cách đăng nhập đơn giản và an toàn hơn, thay thế mật khẩu bằng mã PIN hoặc dữ liệu sinh trắc học như vân tay hoặc tính năng nhận dạng khuôn mặt". "Chúng tôi đã tìm hiểu việc sử dụng khoá truy cập để giúp người dùng đăng nhập dễ dàng và an toàn hơn, đồng thời bảo vệ tài khoản của họ mà không cần phải nhớ mật khẩu."

Kể từ khi triển khai khoá truy cập, nhóm X nhận thấy thời gian đăng nhập giảm đáng kể và các chỉ số cho thấy quy trình đăng nhập đã được cải thiện. Với khoá truy cập, tỷ lệ đăng nhập thành công của ứng dụng đã tăng gấp đôi so với khi chỉ dựa vào mật khẩu. Nhóm cũng nhận thấy số lượng yêu cầu đặt lại mật khẩu của những người dùng đã bật khoá truy cập giảm xuống.

Theo các nhà phát triển tại X, việc áp dụng khoá truy cập còn mang lại những lợi ích khác ngoài việc tăng cường bảo mật và đơn giản hoá trải nghiệm đăng nhập, chẳng hạn như giảm chi phí và cải thiện trải nghiệm người dùng.

Kylie cho biết: "Khoá truy cập giúp chúng tôi giảm chi phí liên quan đến quy trình xác thực hai yếu tố dựa trên SMS vì khoá truy cập có khả năng xác thực mạnh mẽ và vốn có." "Ngoài ra, nhờ quy trình đăng nhập dễ dàng, người dùng có nhiều khả năng tương tác với nền tảng của chúng tôi hơn vì họ không cần phải nhớ hoặc đặt lại mật khẩu."

Khoá truy cập dựa vào phương thức mật mã học khoá công khai để xác thực người dùng và cung cấp cho họ khoá riêng tư. Điều đó có nghĩa là các trang web và ứng dụng có thể xem và lưu trữ khoá công khai, nhưng tuyệt đối không nhận được khoá riêng tư. Khoá riêng tư được nhà cung cấp thông tin đăng nhập của người dùng mã hoá và lưu trữ. Vì khoá là duy nhất và gắn liền với trang web hoặc ứng dụng, nên khoá truy cập không thể bị đánh cắp, nhờ đó tăng cường bảo mật.

Tích hợp liền mạch bằng Credential Manager API

Để tích hợp khoá truy cập, các nhà phát triển tại X đã sử dụng Credential Manager API của Android. Theo Kylie, việc này giúp quá trình diễn ra "cực kỳ suôn sẻ". API này hợp nhất Smart Lock, Một lần nhấn và Đăng nhập bằng Google thành một quy trình duy nhất, tinh giản. Điều này cũng giúp nhà phát triển xoá hàng trăm dòng mã, tăng cường việc triển khai và giảm chi phí bảo trì.

Cuối cùng, việc di chuyển sang Trình quản lý thông tin xác thực chỉ mất 2 tuần để hoàn tất đối với X nhà phát triển, sau đó mất thêm 2 tuần để hỗ trợ đầy đủ khoá truy cập. Đây là một "quá trình di chuyển rất nhanh" và nhóm "không ngờ rằng quá trình này lại đơn giản và dễ dàng đến vậy", Saurabh Arora, một kỹ sư tại X cho biết. Nhờ API đơn giản dựa trên coroutine của Trình quản lý thông tin xác thực, sự phức tạp khi xử lý nhiều lựa chọn xác thực đã được loại bỏ, giúp giảm lượng mã, khả năng xảy ra lỗi và nỗ lực tổng thể của nhà phát triển.

Các nhà phát triển tại X nhận thấy tốc độ phát triển tăng lên đáng kể khi tích hợp Credential Manager API. Khi chuyển sang sử dụng khoá truy cập thông qua Credential Manager API, họ đã đạt được:

• Giảm 80% mã trong mô-đun xác thực
• 90% số lỗi trường hợp đặc biệt cũ được giải quyết
• Giảm 85% mã xử lý GIS, Một lần nhấn và Smart Lock

Việc sử dụng các phương thức cấp cao nhất của Credential Manager API, chẳng hạn như createCredential và getCredential, giúp đơn giản hoá quá trình tích hợp bằng cách loại bỏ các điểm phức tạp của logic tuỳ chỉnh xung quanh từng giao thức. Phương pháp đồng nhất này cũng có nghĩa là các nhà phát triển X có thể sử dụng một giao diện duy nhất và nhất quán để xử lý nhiều loại xác thực, chẳng hạn như khoá truy cập, mật khẩu và các phương thức đăng nhập liên kết như Đăng nhập bằng Google.

Saurabh cho biết: "Với các phương thức API đơn giản của Credential Manager, chúng tôi có thể truy xuất khoá truy cập, mật khẩu và mã thông báo liên kết chỉ bằng một lệnh gọi, giảm bớt logic phân nhánh và giúp việc xử lý phản hồi trở nên rõ ràng hơn". Việc sử dụng các phương thức API khác nhau, chẳng hạn như createCredential() và getCredential(), cũng giúp đơn giản hoá vùng lưu trữ thông tin xác thực, cho phép chúng tôi xử lý mật khẩu và khoá truy cập ở một nơi.

Các nhà phát triển X không gặp nhiều khó khăn khi áp dụng tính năng Đăng nhập bằng Google bằng Credential Manager API. Việc thay thế mã Đăng nhập bằng Google, Một lần nhấn và Smart Lock trước đây của X bằng một quy trình triển khai Trình quản lý thông tin xác thực đơn giản hơn có nghĩa là nhà phát triển không còn phải xử lý trạng thái kết nối hoặc ngắt kết nối và kết quả hoạt động, giúp giảm sai số.

Tương lai với khoá truy cập

Việc X tích hợp khoá truy cập cho thấy rằng bạn có thể đạt được trải nghiệm xác thực an toàn và thân thiện với người dùng hơn. Bằng cách tận dụng Credential Manager API, các nhà phát triển tại X đã đơn giản hoá quy trình tích hợp, giảm các lỗi tiềm ẩn, đồng thời cải thiện cả tính bảo mật và tốc độ của nhà phát triển – tất cả đều nhằm nâng cao trải nghiệm người dùng.

Saurabh cho biết: "Lời khuyên của chúng tôi dành cho các nhà phát triển cân nhắc việc tích hợp khoá truy cập là hãy tận dụng Credential Manager API". "Thư viện này thực sự đơn giản hoá quy trình và giảm lượng mã bạn cần viết và duy trì, giúp nhà phát triển triển khai hiệu quả hơn."

Trong tương lai, X dự định sẽ tiếp tục nâng cao trải nghiệm người dùng bằng cách chỉ cho phép đăng ký bằng khoá truy cập và cung cấp một màn hình quản lý khoá truy cập chuyên dụng.

Bắt đầu

Tìm hiểu cách cải thiện trải nghiệm người dùng khi đăng nhập vào ứng dụng bằng cách sử dụng khoá truy cập và Credential Manager API.