En este documento, se explica qué son los tokens de acceso privados (PAT) y cómo los usa reCAPTCHA.
¿Qué son los tokens de acceso privado?
reCAPTCHA usa una función en iOS y macOS llamada PAT para reducir la cantidad de CAPTCHAs que muestra a los usuarios humanos.
Un PAT es un token opaco que generan algunos dispositivos iOS y macOS. El token funciona como una certificación que preserva la privacidad de la autenticidad y la integridad de un dispositivo. Los PAT son una implementación del protocolo Privacy Pass, que es un tipo de esquema de WWW-Authentication.
Cómo usa reCAPTCHA los tokens de acceso privado
reCAPTCHA usa varios factores para determinar si una solicitud proviene de una persona o de un bot. La capacidad de un dispositivo para generar un PAT es uno de estos indicadores. Los dispositivos que no pueden generar un PAT no reciben penalizaciones.
El protocolo PAT se diseñó para ayudar a preservar la privacidad. El token no contiene información de identificación personal que se pueda usar para identificar un dispositivo o usuario específico. reCAPTCHA verifica que el token sea válido para confirmar que la solicitud proviene de un dispositivo Apple original.
Flujo de solicitud del token de acceso privado
Es posible que veas un error 401 de una URL de reCAPTCHA que termina en /pat. Este error es una parte esperada del protocolo de PAT. Para determinar si un dispositivo puede producir un PAT, reCAPTCHA envía un encabezado especial en una respuesta que rechaza la solicitud inicial. En los dispositivos Apple compatibles, este encabezado activa un flujo que vuelve a intentar la solicitud con un PAT.
Este error 401 no impide que reCAPTCHA funcione en la página ni causa otros errores. Cuando haces clic en la casilla de verificación o llamas a execute, reCAPTCHA sigue generando un token válido.
¿Qué sigue?
Para obtener más información sobre cómo Apple usa los tokens de acceso privado, consulta la publicación Presentamos los tokens de acceso privado en el blog para desarrolladores de Apple.