In diesem Dokument wird erläutert, was private Zugriffstokens (PATs) sind und wie reCAPTCHA sie verwendet.
Was sind Private Access Tokens?
reCAPTCHA verwendet eine Funktion unter iOS und macOS namens PAT, um die Anzahl der CAPTCHAs zu reduzieren, die menschlichen Nutzern angezeigt werden.
Ein PAT ist ein undurchsichtiges Token, das von einigen iOS- und macOS-Geräten generiert wird. Das Token dient als datenschutzfreundliche Attestierung der Authentizität und Integrität eines Geräts. PATs sind eine Implementierung des Privacy Pass-Protokolls, das eine Art von WWW-Authentication-Schema ist.
So verwendet reCAPTCHA Private Access Tokens
reCAPTCHA verwendet mehrere Faktoren, um festzustellen, ob eine Anfrage von einem Menschen oder einem Bot stammt. Die Fähigkeit eines Geräts, eine PAT zu erstellen, ist eines dieser Signale. Geräte, die keinen PAT erstellen können, werden nicht bestraft.
Das PAT-Protokoll wurde entwickelt, um den Datenschutz zu wahren. Das Token enthält keine personenbezogenen Daten, die zur Identifizierung eines bestimmten Geräts oder Nutzers verwendet werden können. reCAPTCHA prüft, ob das Token gültig ist, um zu bestätigen, dass die Anfrage von einem echten Apple-Gerät stammt.
Ablauf der Anfrage für ein privates Zugriffstoken
Möglicherweise wird ein 401-Fehler von einer reCAPTCHA-URL angezeigt, die mit /pat endet. Dieser Fehler ist ein erwarteter Teil des PAT-Protokolls. Um festzustellen, ob ein Gerät ein PAT erstellen kann, sendet reCAPTCHA einen speziellen Header in einer Antwort, die die ursprüngliche Anfrage ablehnt. Auf kompatiblen Apple-Geräten löst dieser Header einen Ablauf aus, bei dem die Anfrage mit einem PAT noch einmal gesendet wird.
Dieser 401-Fehler verhindert nicht, dass reCAPTCHA auf der Seite funktioniert, und verursacht auch keine anderen Fehler. Wenn Sie das Kästchen anklicken oder execute aufrufen, wird von reCAPTCHA trotzdem ein gültiges Token generiert.
Nächste Schritte
Weitere Informationen zur Verwendung von Private Access Tokens durch Apple finden Sie im Beitrag Featuring Private Access Tokens im Apple Developer-Blog.