不过比起新兴的 Passkey 规范,针对这个账号问题,其实还有一个更为我们所熟知的替代品——第三方账号授权登录。虽然你可能没有听说过 OAuth 2.0 ,但这个基于 2006 年成立的 OAuth 联盟提出的授权标准的的确确已经陪伴了我们十年了——上至 Sign in with Apple、下到微信登录小程序,里面其实都能看到 OAuth 协议的影子,并且我们每个人都已经在或多或少的使用它了。
使用这些主流的软件账号体系进行授权登录,以及直接关联创建账号,对于亟需新用户的中小规模服务商来说是一笔划算的买卖,最显著的原因莫过于这样可以极大的简化注册流程、变相提升用户转化率。
但是对于我们这样的终端用户而言,授权登录却更像是一把双刃剑:一方面,简化的注册流程的确提高了我们的效率,不必再满浏览器的寻找还没有被自己用来注册过的邮箱;但是另一方面,快捷无感的注册流程也为个人隐私泄露埋下了隐患,毕竟这里原本就是在《使用协议》和《授权协议》里玩文字游戏的绝佳场所。在很多情况下,我们其实是不清楚自己究竟授权出去了哪些权利的。
正因如此,能够及时且透彻地了解自己做过哪些授权登录,究竟授权了哪些信息和权限,并且最重要的——了解怎样撤销授权实际上是保护个人信息安全的重中之重。
国外御三家
▍Apple
在个人隐私保护方面,Apple 一直是动作比较积极的,甚至前一阵还在投放过甄子丹老师领衔主演的广告片宣传自己的隐私保护。而伴随着 2019 年 Sign in with Apple 功能的推出,Apple 正式为 Apple ID 拓展了第三方代理登录的功能,并且得益于 Apple 强大的生态号召力,为 Apple ID 登录提供支持软件和网站的范围在过去四年间迅速扩大——更难得的是,很多国产软件也相继提供了支持。
与此同时,Apple 为 Sign in with Apple 提供了非常透明的管理方式。除了在已经登录了 Apple ID 的设备上可以在账号管理页面中的「登录与安全」里调整之外,也可以直接在 appleid.apple.com 上面使用网页端管理。对于每一个使用了 Sign in with Apple 注册和登录的网络服务,Apple 会记录授权登录的时间、执行邮件转发的虚拟邮箱,以及非常明确的中止授权(解绑)按钮:
取决于系统版本,这个管理窗口的样式也可能有一些细微差别 ▍Google
相比起 Sign in with Apple ,Google 自己的授权登录功能 Sign in with Google 的知名度在国内则显而易见的不是很高。但如果你正在使用 Twitter(X)、Pinterest、Medium 之类的平台的话,在创建新账号的时候就可以看到使用 Google 账号的选项了:
与 Sign in with Apple 略有不同的是,除了直接通过 Google 账号邮箱创建账号之外,Sign in with Google 在适配的 app 或者网站中也可以扩展到提供 Google Drive 或者 Google 相册的访问。
同时,它的使用场景也不仅仅是注册新账号,许多 Play Store 上面的游戏会选择接入 Google Play Games 服务、直接将 Google 账号作为游戏存档同步和奖杯系统的依据(类似依靠 iCloud 同步的 Game Center )——换句话说,Sign in with Google 的被授权登录方能够接触到的账号信息相比 Apple 多了不少。
同样的,想要检查和管理这些账号授权的话,Google 也提供了 Android 设备中的 Google 账号管理和网页两种入口:在 myaccount.google.com 中进入「数据与隐私」界面,就可以找到所有你授权过的第三方 app 与服务(Your connections to third-party apps and services),点击进入详情之后就可以看到它们获得了哪些授权、获得日期、这些权限的具体内容,并且可以一键撤销。
比如这个订阅管理软件就被授权使用 Google Drive 备份和同步 ▍Microsoft
比起 Apple 和 Google ,微软账号的第三方授权使用场景不是那么丰富,反而是在通过第三方邮件客户端中登录 Outlook 邮箱、或者一些可以关联到 OneNote 的 RSS 客户端或是连接到 OneDrive 的第三方应用使用的比较多。对于微软账号,最方便的管理方式就是直接在微软账号的网页管理界面上操作了。