En este documento se explica qué son los tokens de acceso privado (PATs) y cómo los usa reCAPTCHA.
¿Qué son los tokens de acceso privados?
reCAPTCHA usa una función de iOS y macOS llamada PAT para reducir el número de CAPTCHAs que muestra a los usuarios humanos.
Un PAT es un token opaco que generan algunos dispositivos iOS y macOS. El token sirve como certificación de la autenticidad y la integridad de un dispositivo que protege la privacidad. Las PATs son una implementación del protocolo Privacy Pass, que es un tipo de esquema WWW-Authentication.
Cómo usa reCAPTCHA los tokens de acceso privado
reCAPTCHA usa varios factores para determinar si una solicitud procede de un humano o de un bot. La capacidad de un dispositivo para generar un PAT es una de estas señales. Los dispositivos que no pueden generar un PAT no se penalizan.
El protocolo PAT se ha diseñado para ayudar a proteger la privacidad. El token no contiene información personal identificable que se pueda usar para identificar un dispositivo o un usuario concretos. reCAPTCHA comprueba que el token sea válido para confirmar que la solicitud procede de un dispositivo Apple auténtico.
El flujo de solicitud de token de acceso privado
Es posible que veas un error 401 en una URL de reCAPTCHA que termine en
/pat. Este error es una parte esperada del protocolo PAT. Para determinar si un dispositivo puede generar un PAT, reCAPTCHA envía un encabezado especial en una respuesta que rechaza la solicitud inicial. En los dispositivos Apple compatibles, este encabezado activa un flujo que vuelve a intentar la solicitud con un PAT.
Este error 401 no impide que reCAPTCHA funcione en la página ni provoca otros errores. Cuando haces clic en la casilla o llamas a execute,
reCAPTCHA sigue generando un token válido.
Siguientes pasos
Para obtener más información sobre cómo usa Apple los tokens de acceso privado, consulta la entrada Presentamos los tokens de acceso privado del blog para desarrolladores de Apple.