原标题：与我不同就不安全，苹果这次动了别人的蛋糕

　　不知道大家是否记得在上个月举行的WWDC上，苹果方面主管iOS与Mac软件的高级副总裁克雷格·费德里吉，向全球开发者与用户介绍了iOS 13的一项新功能——“Sign in with Apple”。其允许用户选择使用随机生成的一次性虚拟邮件注册，来登陆第三方APP以保护用户隐私。

　　为了推广这项新功能，苹果要求第三方APP开发者如果提供任何其他第三方登陆，则必须同时提供这一登陆选项，同时登陆按钮需放置在用其他第三方方式登录的按钮之上。且不提苹果强制要求“Sign in with Apple”必须要凌驾于第三方登陆的做法，或已经涉嫌违背竞争公平性，日前其本身的安全性也被拿出来说事了。

　　OpenID基金会指出苹果登录方式有风险

　　上周四，OpenID基金会给苹果发出了一封公开信。据悉，这份公开信是OpenID基金会（简称OIDF）社区委员会主席樱村纳特写给苹果主管软件业务的克雷格·费德里吉，主要内容是称赞其登录功能“大部分”采用了OpenID Connect协议，但由于二者之间存在不少差异，而这些差异则将使用户面临更大的安全与隐私风险。

　　有朋友看到这里可能会认为，OpenID基金会是什么来头，居然对一家市值近万亿美元的科技企业提出不同看法。但事实上OIDF并非野鸡组织，其负责OpenID技术发展、实施，以及OpenID证书发放的非营利性组织，会员更是包括了谷歌、微软、PayPal、NRI、甲骨文、GSMA在内的一大批科技巨头。

　　OpenID是由LiveJournal与SixApart开发的一个以用户为中心的分布式数字身份识别框架，可以说是目前互联网上应用最为广泛的一种身份验证系统，它允许应用程序与网站开发人员对用户进行身份验证，而无需承担存储与管理密码的责任。OpenID帐号可以在任何应用了这一验证系统的网站与APP中使用，从而避免了多次注册给用户带来的繁琐。搭配负责授权OAuth协议，则构成了诸如腾讯互联等第三方登陆功能实现的基础——OpenAPI。

　　OpenID的原理相当简单，假设用户已经拥有一个在腾讯注册获得的OpenID帐号，也就是QQ号，在支持OpenID帐号登陆的微博使用时，此时在微博登陆界面输入相应帐号进行登录时，浏览器就会自动转向腾讯互联的页面进行身份验证。此时，用户只要输入QQ的账号密码对微博进行验证管理，验证通过后就会自动跳转到微博上。

　　但这个蛋糕可不是那么好动的

　　不过因为苹果并非是OIDF会员，因此刚刚推出的这套“Sign in with Apple”也并不是OpenID体系之内的产品。因此OpenID社区的开发者在解析了OpenID Connect与“Sign in with Apple”之间的差异之后，指出了这一登录方式可能存在的风险。

　　其中最为重要的一条，就是开发者只能在“用户第一次登陆时通过前端获取到虚拟邮箱”，这就导致将无法验证该邮箱的安全性。也就是说为了确保邮箱一定是用户本人在使用，开发者目前仍需给用户发送确认邮件。

　　纵观OIDF方面公布的文档，其实简而言之就一句话——“与我有区别的地方，就是有隐私和安全风险的地方”。没错，OpenID基金会确实是一家非营利性组织，但是其董事会成员却是来自谷歌、微软、PayPal等，因此这也就意味着利益将被苹果侵犯。

　　“Sign in with Apple”讨好了用户，但是真真切切的伤害了开发者利益，无异于是在各家的账号体系内釜底抽薪，最终结果就是AppleID将在iOS体系内，取代其他任何的第三方账号体系。

　　在目前的第三方账号模式下，用户的个人数据其实有着“双向披露”的情况，需要用户将个人电子邮件地址提供给平台以换取对第三方登陆的支持。而有了用户授权的第三方登陆信息，谷歌等平台就能够知晓用户使用的相关情况（类型/频率等），再通过各个平台的交叉授权，为用户画像增添可靠的信息。同时邮箱还能够成为广告营销的战场，以便其向用户推送各类的广告邮件。

　　除了影响其他厂商收集用户信息之外，苹果未尝没有存着大幅度提升用户跳槽至Android端成本的考虑。依托于目前Touch ID与Face ID这样便捷的生物验证机制，用户未来将可以快速登陆大量这一功能的第三方登陆APP，而反观Android端，类似的体验就要差很多了。

　　“Sign in with Apple”能否如期推行还是个问题

　　那么除了这样一封效力存疑的公开信之外，OIDF是否有能够实行针对苹果的强制措施呢？答案是可以，在OpenID认证条款中有这样的描述，”OIDF会保留在任何时候单独撤销有限许可的权利“，“OIDF不承担任何可能产生或相关的责任”， “OIDF会自行决定实施者违反了本协定或任何适用的法律”。

　　这也就意味着，OIDF有能力在必要的情况下，面向开发者来一次强制性的“二选一”。当然，作为标准化组织，这种“二选一”是透支组织信誉的“核武器”，不到万不得已是不会使用的。但是苹果此次动了大家的蛋糕，自然也会引起一定的反弹。

　　OIDF在公开信中给苹果提出了四点意见，其中包括解决与AppleID登录与OpenIDConnect之间的差距，使用OpenID连接认证测试套件，声明AppleID登录与OpenID Connect兼容并可互操作，以及加入OIDF。总的来说就是一句话，OIDF依托自己业界主流的大体量向外界表示，苹果你自己搞的标准我们不认，不如你“倒戈卸甲，以礼来降”。

　　现在皮球被踢到了苹果一方，如果说其无动于衷甚至采用对抗策略的话，“安全”与“隐私”这两顶大帽子一扣，对于一向以保护用户隐私著称的苹果而言，无疑就是贻人口实。而一旦与OpenID Connect协议完全接轨，“Sign in with Apple”想要实现功能的难度就会大幅度提升，因此目前收到这封公开信的克雷格·费德里吉可能已经很头疼了。

　　至于国内用户则只能说“雨女无瓜”了，因为现阶段国内的账号体系通常关联的都是手机号而非电子邮箱，并且各类推广信息也往往是通过短信来实现。再加上我国所采取的是电话号码实名制，因此对于苹果这样一个极为注重合规的企业来说，“Sign in with Apple”支持虚拟电话号码的可能性，几乎是微乎其微。

　　不过凡事都有一个万一，万一苹果想到了解决方案，那么这个功能可能就会变得更有意思了。