Questo documento spiega cosa sono i token di accesso privato (PAT) e come vengono utilizzati da reCAPTCHA.
Che cosa sono i token di accesso privato?
reCAPTCHA utilizza una funzionalità su iOS e macOS chiamata PAT per ridurre il numero di CAPTCHA che mostra agli utenti umani.
Un PAT è un token opaco generato da alcuni dispositivi iOS e macOS. Il token funge da attestazione che tutela la privacy dell'autenticità e dell'integrità di un dispositivo. I token di accesso privato sono un'implementazione del protocollo Privacy Pass, che è un tipo di schema WWW-Authentication.
In che modo reCAPTCHA utilizza i token di accesso privato
reCAPTCHA utilizza più fattori per determinare se una richiesta proviene da un essere umano o da un bot. La capacità di un dispositivo di produrre un PAT è uno di questi indicatori. I dispositivi che non possono produrre un PAT non vengono penalizzati.
Il protocollo PAT è progettato per contribuire a preservare la privacy. Il token non contiene informazioni di identificazione personale che possono essere utilizzate per identificare un dispositivo o un utente specifico. reCAPTCHA verifica che il token sia valido per confermare che la richiesta provenga da un dispositivo Apple originale.
Flusso di richiesta del token di accesso privato
Potresti visualizzare un errore 401 da un URL reCAPTCHA che termina con
/pat. Questo errore è una parte prevista del protocollo PAT. Per determinare se un dispositivo può produrre un PAT, reCAPTCHA invia un'intestazione speciale in una risposta che rifiuta la richiesta iniziale. Sui dispositivi Apple compatibili, questa
intestazione attiva un flusso che riprova la richiesta con un PAT.
Questo errore 401 non impedisce a reCAPTCHA di funzionare sulla pagina né causa altri errori. Quando fai clic sulla casella di controllo o chiami execute,
reCAPTCHA genera comunque un token valido.
Passaggi successivi
Per scoprire di più su come Apple utilizza i token di accesso privato, consulta il post Featuring Private Access Tokens sul blog di Apple Developer.