Login mit Apple (Sign in with Apple) ist ein von Apple entwickelter Single Sign-On (SSO)-Dienst, der es ermöglicht, sich bei Drittanbieter-Webseiten und -Apps mit der eigenen Apple-ID anzumelden. Im Vordergrund stehen Datenschutz, Sicherheit und Benutzerfreundlichkeit.
1 Funktionsweise
Der Login basiert auf OAuth 2.0 in Kombination mit OpenID Connect. Nutzer autorisieren eine Anwendung über den Apple-Login-Dialog. Nach erfolgreicher Authentifizierung sendet Apple einen JWT-basierten ID-Token an den Anbieter. Dieser enthält Nutzerinformationen wie Name, E-Mail-Adresse sowie eine eindeutige Sub-ID.
Bei erstmaliger Anmeldung kann optional ein vollständiger Name übermittelt werden. Die E-Mail-Adresse ist wählbar: Entweder die echte Adresse oder eine automatisch generierte Relay-E-Mail zur Wahrung der Privatsphäre.
2 Datenschutz & Relay-E-Mail
Ein Alleinstellungsmerkmal von „Sign in with Apple“ ist die Option „E-Mail-Adresse verbergen“. Dabei wird eine zufällig generierte Adresse wie xyz@privaterelay.appleid.com erstellt. Nachrichten an diese Adresse werden von Apple an die echte E-Mail-Adresse weitergeleitet, ohne dass der Anbieter diese kennt.
Diese Funktion sorgt für:
- Schutz der privaten E-Mail-Adresse
- Kontrollierte Kontaktaufnahme durch Anbieter
- Rückverfolgbarkeit nur durch den Nutzer selbst
3 Sicherheitsmerkmale
- Zwei-Faktor-Authentifizierung (2FA) ist für alle Apple-IDs verpflichtend
- JWT-Signierung der Tokens mit Apple-Zertifikaten
- Verschlüsselter Datenverkehr via TLS/SSL
- Kein Passwort bei Drittanbietern notwendig
- Möglichkeit zur nachträglichen Entziehung des Zugriffs über das Apple-ID-Konto
4 Vorteile für Endnutzer
- Kein neues Passwort erforderlich
- Datensparsame Anmeldung mit Datenschutzoptionen
- Kontrolle über freigegebene Daten
- Einfache Verwaltung aller Zugriffe im Apple-Konto
- 2FA-Schutz durch Apple-Ökosystem
5 Vorteile für Anbieter
- Vereinfachte Benutzerregistrierung
- Weniger Angriffsfläche (keine Passwortspeicherung notwendig)
- Vertrauensbonus durch Apple-Zertifizierung
- DSGVO-konforme Nutzerdatenverarbeitung
- Klare Anforderungen und Dokumentation durch Apple
6 Technische Umsetzung
Die technische Integration erfolgt über folgende Komponenten:
- OAuth 2.0 Authorization Code Flow mit PKCE (Proof Key for Code Exchange)
- Unterstützung von OpenID Connect zur Identitätsverifikation
- Verwendung von JWT (JSON Web Tokens) als ID-Token, signiert mit Apple's öffentlichen Schlüsseln
- Verifikation der Tokens über das Apple-/.well-known/jwks.json-Endpoint
- Bei nativen Apps: Integration über das Apple Authentication Services Framework (iOS/macOS)
- Bei Webanwendungen: Nutzung der Apple JS-SDK oder direkte Implementierung des OAuth-Flows
Wichtige technische Anforderungen:
- Eine Service ID (Client ID) muss im Apple Developer Account erstellt werden
- Die Web-Domain muss per TXT-Eintrag validiert werden
- Der Redirect URI muss exakt angegeben und HTTPS-geschützt sein
- Die Anwendung muss den Authorization Code gegen einen ID- und Access Token tauschen
Die übermittelten Daten (z. B. Name, E-Mail) werden nur beim ersten Login bereitgestellt. Anbieter sollten diese bei der ersten Anmeldung sofort persistieren.
Fazit:
Login mit Apple kombiniert moderne Sicherheitsstandards mit einem hohen Maß an Datenschutz. Für Anbieter bedeutet dies weniger Aufwand bei der Benutzerverwaltung und höhere Akzeptanz durch Datenschutzbewusste. Technisch basiert das System auf bewährten Webstandards, ergänzt durch Apples eigene Schutzmechanismen.