OpenID基金会对苹果发出Sign with Apple终究未彻底标准化

安全标准组织OpenID基金会周末对苹果发出公开信指出，苹果随同iOS 13及iPadOS发表的隐私签入系统Sign with Apple虽然拥抱了大部份OpenID协议，但终究未彻底标准化，不但形成开发人员负担，也可能提升用户隐私与安全风险。OpenID基金会主席Nat Sakimura在对苹果软件工程资深副总裁 Craig Federighi的公开信中，首先赞赏苹果提供以OpenID Connect开发的Sign with Apple，让iPhone及Mac计算机用户可安全登入第三方行动和网页应用。

Open ID Connect是以OAuth 2.0为基础发展的现代化身份验证协议，能够标准化方式登入第三方应用程序，OpenID基金会则是OpenID Connect平台的非营利组织，主要成员包括Google、微软、PayPal及Akamai。但Sakimura指出，Sign with Apple的实做只「大部份」采用OpenID Connect，导致二者之间仍然一部份差别。该基金会认为二者的相异处，将限缩苹果装置这项验证服务的适用场合，也使他们曝露于更高的安全和隐私风险中，此外也对开发商增添没必要要的负担。OpenID基金会呼吁苹果应缩小二者之间的差别，以便与OAuth 2.0客户端应用程序OpenID Connect Relying Party（OIDC RP）兼容、且以OpenID Connect的自主认证测试套件来提高Sign with Apple的兼容性和安全性。此外，他也但愿苹果加入OpenID基金会，而且公开宣扬Sign with Apple和OIDC RP软件的兼容性。

苹果预计在今年秋天发布的iOS 13及iPad OS正式版，加入Sign with Apple技术。对于登记网站或app账户的用户，若是用户不肯意注册真实电子邮件信箱，系统会产生一个专属于该app或网站的随机邮件信箱。这些邮件信箱为苹果代管，所以一旦app寄送垃圾邮件就会被导向苹果，这能够阻绝垃圾邮件后患，也能够追查是哪一个app或网站将用户电子邮件外泄给别人。Sign In with Apple还能够结合Face ID或Touch ID验证，并内建双因素验证。苹果并规定今年秋天起，支持第三方登入工具的app，都必须提供这项功能做为用户选项。