在致苹果软件工程师Craig Federighi的公开信中,OpenID基金会表示即将推出的“Sign in with Apple”标准和OpenID Connect有很多相似之处,但是在隐私、安全和开发目的上存在很多不足。
在公开信的开头写道:“OpenID基金会肯定和赞扬苹果在允许用户使用OpenID Connect通过Apple ID来登陆第三方移动和网页应用上所做的努力。
”并表示Connect是一种基于OAuth 2.0的现代化,被广泛采用的的身份协议,能够实现第三方登陆应用,并且由基金会内的众多公司和行业专家开发。
虽然苹果在创建“Sign in with Apple”时候已经“大量采用”Connect,但是和基金会的初衷和方式上仍存在一些差异。
在苹果系统上使用存在隐私和安全威胁。
例如在认证代码类型中缺少PKCE,从而有代码注入和Replay攻击的风险。
这种分裂给Connect和Sign in with Apple的开发工作带来了“不必要的负担”,特别是因为苹果的代码和OpenID Connect Relying Party软件不兼容。
在这份公开信中要求苹果“修复这些差距”,使用Open ID Connect Self Certification Test Suite,在Sign in with Apple中声明 Relying Party的兼容性,以及最终加入OpenID基金会。
