Este documento explica o que são tokens de acesso privado (PATs) e como o reCAPTCHA os usa.
O que são tokens de acesso privado?
O reCAPTCHA usa uma funcionalidade no iOS e macOS denominada PAT para reduzir o número de CAPTCHAs que apresenta a utilizadores humanos.
Um PAT é um token opaco que alguns dispositivos iOS e macOS geram. O token funciona como uma atestação de preservação da privacidade da autenticidade e integridade de um dispositivo. Os PATs são uma implementação do protocolo Privacy Pass, que é um tipo de esquema WWW-Authentication.
Como o reCAPTCHA usa tokens de acesso privado
O reCAPTCHA usa vários fatores para determinar se um pedido é feito por um humano ou por um bot. A capacidade de um dispositivo produzir um PAT é um destes sinais. Os dispositivos que não conseguem produzir um PAT não são penalizados.
O protocolo PAT foi concebido para ajudar a preservar a privacidade. O token não contém informações de identificação pessoal que possam ser usadas para identificar um dispositivo ou um utilizador específico. O reCAPTCHA verifica se o token é válido para confirmar que o pedido é proveniente de um dispositivo Apple genuíno.
O fluxo de pedido de token de acesso privado
Pode ver um erro 401 de um URL do reCAPTCHA que termina em
/pat. Este erro é uma parte esperada do protocolo PAT. Para determinar se um dispositivo pode produzir um PAT, o reCAPTCHA envia um cabeçalho especial numa resposta que rejeita o pedido inicial. Em dispositivos Apple compatíveis, este cabeçalho aciona um fluxo que tenta novamente o pedido com um PAT.
Este erro 401 não impede o reCAPTCHA de funcionar na página nem causa outros erros. Quando clica na caixa de verificação ou chama execute, o reCAPTCHA continua a gerar um token válido.
O que se segue?
Para saber como a Apple usa os tokens de acesso privado, consulte a publicação Apresentamos os tokens de acesso privado no blogue para programadores da Apple.