随着iOS13正式版的发布,由Apple推出的第三方账号登录服务SigninwithApple也随着不少App的更新与我们正式见面。
在微信、微博等第三方登录已经比较普遍的情况下,不少人对这项新的第三方登录服务也提出了问题:SigninwithApple的体验好吗?目前的支持情况如何?它是否真的那么安全?尝试了多款已经支持这项功能的App之后,我将自己的体验整理出来,希望能为你解答这些问题。
SigninwithApple体验如何
在某个应用或网站初次使用SigninwithApple时,你可以自由设置用户名并选择是否隐藏邮箱。SigninwithApple会默认用AppleID的姓名来填充用户名,如果你的AppleID用的是真实姓名,在注册时,建议手动修改用户名。
如果你的AppleID有多个邮箱,那么你还可以选择向开发者共享哪一个邮箱,或者隐藏自己的邮箱信息。在一些应用中登录时,也许不会出现「隐藏邮箱」的选项。不必担心,这是因为开发者未向你索取邮箱。
完成注册后,再次登录就会方便很多。实际体验来看,SigninwithApple与「通过微信登录」无异。甚至要比后者更方便,你只需要通过TouchID或FaceID的认证即可登录,无需跳转至其它应用。
无需跳转,登录方便
SigninwithApple不仅支持iOS,只要开发者对App进行了适配,我们同样可以在网页或者Android等其它平台使用这项服务。
目前,稍后读服务Pocket已经在全平台支持了SigninwithApple。在Android客户端中,即使你没有苹果设备,也可以直接通过AppleID来注册Pocket账号或者进行登录。从我的实际体验来看,SigninwithApple在跨平台的体验还算不错,非苹果用户只需要跳转至SigninwithApple的登录界面,登录自己的AppleID即可完成授权。
由于需要开发者进行单独的适配,因此目前SigninwithApple在跨平台方面的表现不算好。以懒饭为例,虽然iOS应用已经支持了SigninwithApple,但Android应用仍未更新。
左:懒饭iOS客户端,右:懒饭Android客户端
对于有多平台登录需求的人来说,目前想要体验SigninwithApple的便利性可能还需要再等一等。不过,SigninwithApple支持在创建和登录账户之后,通过登录的服务本身绑定手机号或邮箱等,让你也能在其它平台上登录账户。
值得高兴的一点是,通过SigninwithApple注册的帐户,数据可以在全平台同步。此外,如果你已经有了某个服务的帐户,在应用支持的前提下,你也可以将它与你的AppleID进行绑定,以后也能直接通过SigninwithApple登录。
支持绑定AppleID
总的来说,SigninwithApple简化了注册和登录账户的步骤:注册时,你不再需要输入邮箱、设置密码;登录时,你只需要通过指纹或FaceID验证即可。即使是在网页端登录,SigninwithApple也可以为你省去记忆密码的麻烦,你只需要一个AppleID就可以登录所有提供支持的服务。
对于新注册账户的用户来说,SigninwithApple会是一个足够方便的选择。但对于已经拥有帐户的用户来说,还需要应用开发者提供迁移或绑定功能,不然只能通过SigninwithApple注册新账户的话完全没必要。
SigninwithApple支持情况如何
由于iOS13正式版推出的时间不长,许多App还没有支持SigninwithApple。根据苹果先前更新的AppStore审核标准可以得知,凡是使用了第三方登录服务的应用,都必须支持SigninwithApple,因此不必担心应用的支持情况。
我为大家整理了目前已支持SigninwithApple功能的一些App:
资讯:Pocket、西窗烛、喜马拉雅等。
餐饮:懒饭、厨房故事等。
健康:雅卓、Swing等。
社交:WordPress、等。
出行:(携程海外版)、AppintheAir等。
在使用SigninwithApple登录账号的体验方面,这些App的差异不大。目前支持SigninwithApp的常用App暂时不多,希望其它应用也能尽快支持SigninwithApple。
SigninwithApple是否更安全
我们之所以会选择第三方登录服务登录账号,无非是出于「便利」的考量。由于第三方登录服务不会在服务端保存密码,在安全性上也比第一方登录更好。SigninwithApple本质上与其他第三方登录一样,都基于了和OIDC协议。
不同的是,SigninwithApple允许用户隐藏邮箱,并且苹果会将邮件转发至你的邮箱,让你在避免邮箱泄露的同时,也不会错过任何一封重要的邮件提醒。隐藏邮箱可以帮我们避免邮箱泄露所导致的垃圾邮件骚扰问题,但在国内垃圾短信多于邮件的环境下,SigninwithApple能给我们带来的好处似乎并不多。
开发者能获取的信息
对于开发者来说,用户通过SigninwithApple登录账号后,他们可以获取到的信息只有随机生成的用户识别码、用户自己设置的用户名及邮箱。用户识别码仅用于标识用户身份,与用户的个人信息无关,用户名和邮箱都可以通过SigninwithApple进行修改或隐藏。
虽然通过SigninwithApple登录账号网站能够获取到的信息有限,但第三方登录的提供商是否会记录你的登录情况就不得而知了。由此看来,SigninwithApple除了保护邮箱外,更重要的,就是没人知道你注册了什么网站。
总结
虽然SigninwithApple强调了对于用户邮箱信息的保护,不过,对于国内用户来说,保护邮箱没有保护手机号来得重要,加上网络实名制的存在,即使你使用SigninwithApple登录,可能还是需要提供手机号给服务商进行验证。
相比起服务商能够获取的个人数据,容易被忽略的是第三方登录服务提供商能够拿到的数据。以微信为例,在「我-设置-隐私-授权管理」中,你可以看到自己曾经用微信登录过哪些服务,一旦你的微信数据泄露,就有可能导致不法分子对你这个人形成更加具体的画像,还可能因为不法分子获取了你的个人信息对你造成实际损失。
事实上,这种风险并不仅存在于国内,在使用国外服务提供的第三方登录服务时我们同样会面临个人数据的安全问题。由于苹果承诺不会获取SigninwithApple的任何数据,因此在同样的便利程度上,SigninwithApple或许是现有的第三方登录服务里一个更安全的选择。
对于我个人而言,如果一个应用支持将现有数据迁移至SigninwithApple,我不仅会迁移,并且之后注册新账户时,会尽可能地使用SigninwithApple创建和登录账号。在未来所有应用都支持SigninwithApple后,或许我们只需要一个AppleID就能轻松登录所有服务。
