本文說明什麼是私人存取權杖 (PAT),以及 reCAPTCHA 如何使用這類權杖。
什麼是私人存取權杖?
reCAPTCHA 會使用 iOS 和 macOS 的 PAT 功能,減少向真人使用者顯示的 CAPTCHA 數量。
PAT 是部分 iOS 和 macOS 裝置產生的不透明權杖。權杖可做為裝置真實性和完整性的隱私權保護認證。PAT 是 Privacy Pass 通訊協定的實作項目,屬於WWW-Authentication 配置。
reCAPTCHA 如何使用私人存取權杖
reCAPTCHA 會根據多項因素判斷要求是來自真人還是機器人,裝置產生 PAT 的能力就是其中一種信號。無法產生 PAT 的裝置不會受到處罰。
PAT 通訊協定旨在保護隱私權。權杖不含可用於識別特定裝置或使用者的個人識別資訊。reCAPTCHA 會檢查權杖是否有效,確認要求來自正版 Apple 裝置。
私密存取權杖要求流程
您可能會看到 reCAPTCHA 網址 (結尾為 /pat) 傳回 401 錯誤。這是 PAT 通訊協定預期會發生的錯誤。如要判斷裝置是否可以產生 PAT,reCAPTCHA 會在拒絕初始要求的回應中傳送特殊標頭。在相容的 Apple 裝置上,這個標頭會觸發流程,使用 PAT 重試要求。
這個 401 錯誤不會導致 reCAPTCHA 無法在網頁上運作,也不會造成其他錯誤。點選核取方塊或呼叫 execute 時,reCAPTCHA 仍會產生有效權杖。
後續步驟
如要進一步瞭解 Apple 如何使用私人存取權權杖,請參閱 Apple 開發人員網誌的「Featuring Private Access Tokens」一文。