在致蘋果軟體工程師Craig Federighi的公開信中,OpenID基金會表示即將推出的“Sign in with Apple”標準和OpenID Connect有很多相似之處,但是在隱私、安全和開發目的上存在很多不足。
在公開信的開頭寫道:“OpenID基金會肯定和讚揚蘋果在允許使用者使用OpenID Connect透過Apple ID來登陸第三方移動和網頁應用上所做的努力。”並表示Connect是一種基於OAuth 2.0的現代化,被廣泛採用的的身份協議,能夠實現第三方登陸應用,並且由基金會內的眾多公司和行業專家開發。
雖然蘋果在建立“Sign in with Apple”時候已經“大量採用”Connect,但是和基金會的初衷和方式上仍存在一些差異。在蘋果系統上使用存在隱私和安全威脅。例如在認證程式碼型別中缺少PKCE,從而有程式碼注入和Replay攻擊的風險。
這種分裂給Connect和Sign in with Apple的開發工作帶來了“不必要的負擔”,特別是因為蘋果的程式碼和OpenID Connect Relying Party軟體不相容。
在這份公開信中要求蘋果“修復這些差距”,使用Open ID Connect Self Certification Test Suite,在Sign in with Apple中宣告 Relying Party的相容性,以及最終加入OpenID基金會。
在致蘋果軟體工程師Craig Federighi的公開信中,OpenID基金會表示即將推出的“Sign in with Apple”標準和OpenID Connect有很多相似之處,但是在隱私、安全和開發目的上存在很多不足。
在公開信的開頭寫道:“OpenID基金會肯定和讚揚蘋果在允許使用者使用OpenID Connect透過Apple ID來登陸第三方移動和網頁應用上所做的努力。”並表示Connect是一種基於OAuth 2.0的現代化,被廣泛採用的的身份協議,能夠實現第三方登陸應用,並且由基金會內的眾多公司和行業專家開發。
雖然蘋果在建立“Sign in with Apple”時候已經“大量採用”Connect,但是和基金會的初衷和方式上仍存在一些差異。在蘋果系統上使用存在隱私和安全威脅。例如在認證程式碼型別中缺少PKCE,從而有程式碼注入和Replay攻擊的風險。
這種分裂給Connect和Sign in with Apple的開發工作帶來了“不必要的負擔”,特別是因為蘋果的程式碼和OpenID Connect Relying Party軟體不相容。
在這份公開信中要求蘋果“修復這些差距”,使用Open ID Connect Self Certification Test Suite,在Sign in with Apple中宣告 Relying Party的相容性,以及最終加入OpenID基金會。