Для большинства мобильных приложений в Казахстане лучшая схема авторизации — комбинированная: OTP по SMS или WhatsApp как основной вход, биометрия для повторных сессий и Sign in with Apple / Google как быстрая альтернатива. Классический логин с паролем в 2026 году — самый слабый вариант: пользователи забывают пароли и уходят ещё на этапе регистрации.

Команда Applications.kz с 2007 года выпустила более 300 проектов для рынков Казахстана, ОАЭ и Таиланда, и почти в каждом из них экран входа проектировался индивидуально — под аудиторию, бюджет и требования безопасности. В этой статье разбираем четыре основных метода авторизации, их реальную стоимость в тенге и логику выбора.

Почему экран входа решает судьбу приложения

Авторизация — первое препятствие между установкой и использованием продукта. Если форма регистрации требует придумать пароль из восьми символов со спецзнаком, подтвердить e-mail и заполнить профиль, значительная часть аудитории закроет приложение, не дойдя до главного экрана. Деньги, потраченные на привлечение установки, сгорают на первом же шаге.

Поэтому при разработке мобильных приложений мы рассматриваем авторизацию не как формальность, а как часть воронки продукта. Хороший вход решает три задачи одновременно: пускает пользователя за минимальное число действий, надёжно привязывает аккаунт к человеку и не создаёт дыр в безопасности. Ни один метод не закрывает все три пункта в одиночку — отсюда и комбинированные схемы.

OTP по SMS и WhatsApp: стандарт казахстанского рынка

OTP (one-time password) — одноразовый код, который приходит на номер телефона. Пользователь вводит номер, получает 4–6 цифр, вводит их — и он внутри. Пароля нет вообще, забывать нечего.

Для Казахстана это де-факто стандарт: аудитория приучена к такому входу банковскими и маркетплейс-приложениями, номер телефона здесь — главный цифровой идентификатор человека. Если ваше приложение связано с доставкой, записью, заказами или бонусной программой, телефон всё равно понадобится — логично сделать его и ключом для входа.

Что учесть при внедрении OTP

  • Стоимость трафика. Транзакционная SMS в Казахстане стоит примерно 14–25 ₸. При 10 000 входов в месяц это уже 140 000–250 000 ₸ операционных расходов — закладывайте их в юнит-экономику заранее.
  • WhatsApp как дешёвый канал. Аутентификационные сообщения через WhatsApp Business API обходятся заметно дешевле SMS и доставляются стабильнее. Рабочая связка: сначала WhatsApp, при недоставке — fallback на SMS.
  • Защита от SMS-бомбинга. Без лимитов на запрос кодов злоумышленники используют вашу форму для спама, а вы оплачиваете их трафик. Обязательны rate limiting по номеру и IP, капча после повторных запросов, блок виртуальных номеров.
  • Автоподстановка кода. На iOS код из SMS подставляется через одно касание, на Android — через SMS Retriever API без единого касания. Эти детали сокращают вход до 10–15 секунд.

OAuth 2.0 и вход через соцсети

OAuth 2.0 — протокол, при котором ваше приложение не хранит пароль пользователя, а получает токен доступа от внешнего провайдера: Google, Apple, Facebook. Пользователь нажимает одну кнопку, подтверждает доступ — аккаунт создан за пару секунд, причём с верифицированной почтой.

Важные нюансы для казахстанских проектов:

  • Sign in with Apple обязателен. Если в iOS-приложении есть вход через любую стороннюю соцсеть, App Store требует добавить и вход через Apple. Это правило ревью, а не рекомендация — без него приложение не пропустят.
  • Google закрывает Android-аудиторию. Практически у каждого владельца Android-смартфона в KZ есть Google-аккаунт, вход работает в одно касание через Credential Manager.
  • Соцсети — по ситуации. Вход через Facebook или TikTok оправдан, только если ваша аудитория реально живёт в этих сетях. Каждый лишний провайдер — это отдельный SDK, отдельные риски при изменении их API и более тяжёлый экран входа.
  • Скрытый идентификатор почты. Apple позволяет пользователю скрыть реальный e-mail и выдать ретранслятор. Если ваши бизнес-процессы завязаны на почту, продумайте это до релиза, а не после.

Слабое место OAuth в Казахстане — он не даёт номер телефона. Для интернет-магазина или сервиса доставки телефон всё равно придётся запросить отдельным шагом, и часть выгоды «входа в один тап» теряется.

Биометрия: Face ID и отпечаток пальца

Распространённое заблуждение — считать биометрию самостоятельным способом регистрации. На самом деле Face ID и сканер отпечатка не передают серверу никаких биометрических данных: они лишь разблокируют секрет, уже сохранённый на устройстве после первого входа. Слепок лица или пальца не покидает Secure Enclave на iPhone и TEE/StrongBox на Android — приложение получает только ответ «подтверждено / не подтверждено».

Поэтому правильная роль биометрии — повторный вход. Первый раз пользователь авторизуется по OTP или OAuth, приложение предлагает включить вход по Face ID, и дальше открывается за полсекунды без кодов и SMS. Для финтеха, медицины и любых приложений с платёжными данными это практически обязательный слой: и удобство, и подтверждение, что телефон в руках владельца. Как устроена эта технология изнутри и какие ошибки встречаются при её внедрении, мы подробно разобрали в статье о биометрии в мобильном приложении.

Сравнение методов: таблица

Метод Скорость входа Уровень защиты Внедрение, ₸ Когда выбирать
Логин + пароль Медленно Низкий (утечки, перебор) от 150 000 B2B-кабинеты, внутренние системы
OTP (SMS / WhatsApp) 10–15 секунд Средний–высокий 300 000 – 600 000 E-commerce, доставка, сервисы записи
OAuth (Apple, Google) 2–5 секунд Высокий 350 000 – 700 000 Контент, обучение, соцпродукты
Биометрия (повторный вход) Мгновенно Высокий (локальный слой) 250 000 – 500 000 Финтех, медицина, частые сессии

Цены указаны за проектирование, интеграцию и тестирование метода в составе iOS- и Android-приложения по рынку Казахстана на 2026 год. Точная сумма зависит от бэкенда, антифрод-требований и числа провайдеров.

Сколько стоит модуль авторизации под ключ

На практике заказчики редко берут один метод — собирается связка. Ориентиры по бюджету:

  • Базовая схема (OTP по SMS + сессии на токенах): от 400 000 ₸.
  • Рекомендуемая схема (OTP через WhatsApp с SMS-fallback + Sign in with Apple и Google + биометрия для повторного входа): 800 000 – 1 400 000 ₸.
  • Финтех-уровень (всё выше + привязка устройств, детект рута и джейлбрейка, антифрод-правила, журнал входов): от 1 800 000 ₸.

В эти суммы входит и серверная часть: выпуск и ротация access/refresh-токенов, отзыв сессий, выход со всех устройств. Если вы выбираете подрядчика, посмотрите наш разбор цен на разработку мобильных приложений в Алматы — авторизация там рассматривается как часть общей сметы проекта.

Безопасность: что обязательно вне зависимости от метода

Какой бы способ входа вы ни выбрали, есть слой требований, который нельзя урезать:

  • короткоживущие access-токены и ротация refresh-токенов — украденный токен быстро теряет ценность;
  • хранение токенов только в Keychain (iOS) и Keystore (Android), а не в открытых настройках приложения;
  • TLS с certificate pinning для запросов авторизации — защита от перехвата трафика;
  • хэширование паролей современными алгоритмами (Argon2, bcrypt), если пароль всё-таки используется;
  • серверные лимиты на попытки входа и уведомления о входе с нового устройства.

Авторизация защищает дверь, но данные за дверью требуют отдельной брони — об этом наш материал про шифрование данных в приложении. Кроме того, для казахстанских проектов действует закон «О персональных данных и их защите»: собирая номера телефонов, вы становитесь оператором персональных данных со всеми вытекающими обязанностями.

Как выбрать: короткий алгоритм

  • Магазин, доставка, запись на услуги — OTP по телефону как основа: номер всё равно нужен бизнесу. Биометрию добавьте для повторных входов.
  • Контент, обучение, медиа — Sign in with Apple + Google: минимальный порог входа, телефон можно запросить позже, когда пользователь уже вовлечён.
  • Финтех и медицина — OTP + биометрия + контроль устройств. Здесь экономить на антифроде нельзя.
  • B2B и корпоративные приложения — логин-пароль или SSO компании, плюс биометрия на устройстве сотрудника.

Универсальное правило: чем дешевле привлечение пользователя и чем чаще он заходит, тем быстрее должен быть вход. Чем дороже последствия взлома аккаунта, тем больше слоёв защиты добавляется поверх.

Если сомневаетесь, какую схему закладывать в свой проект, — позвоните нам: +7 (707) 928-13-15. Разберём ваш сценарий и подготовим смету за 24 часа.

Частые вопросы

Можно ли обойтись только биометрией, без SMS и паролей?

Нет. Биометрия привязана к конкретному устройству и не идентифицирует пользователя на сервере. При смене телефона или сбросе Face ID человеку нужен «якорный» способ восстановить доступ — номер телефона или OAuth-аккаунт. Поэтому биометрия всегда работает вторым слоем поверх основного метода, а не вместо него.

Что дешевле в эксплуатации — SMS или WhatsApp для отправки кодов?

WhatsApp заметно дешевле: аутентификационные шаблоны через Business API стоят меньше казахстанской транзакционной SMS (14–25 ₸ за сообщение). На объёме от 10 000 входов в месяц разница составляет сотни тысяч тенге в год. Оптимальна гибридная схема: код уходит в WhatsApp, а при недоставке автоматически дублируется по SMS.

Обязательно ли добавлять Sign in with Apple?

Да, если в iOS-приложении есть вход через любой сторонний сервис — Google, Facebook и подобные. Это требование ревью App Store: без кнопки Apple приложение просто не пройдёт модерацию. Если же у вас только OTP по телефону или собственный логин-пароль, добавлять вход через Apple не обязательно.

Сколько времени занимает внедрение авторизации?

Базовая OTP-схема с серверной частью — ориентировочно 2–3 недели работы. Комбинированный вариант с OAuth-провайдерами, биометрией и антифрод-логикой — 4–6 недель, включая тестирование на реальных устройствах и прохождение ревью магазинов. Сроки растут, если бэкенд существующий и требует доработки под токенную модель сессий.

Что делать с пользователями, у которых уже есть аккаунты с паролями?

Проводить мягкую миграцию: при очередном входе по паролю предложить привязать телефон или Apple/Google-аккаунт, после чего перевести сессии на новую схему. Старый вход отключается постепенно, когда большинство активных пользователей перешло. Принудительный сброс паролей всем сразу почти всегда оборачивается потерей части аудитории.