私有访问令牌 (PAT) 可以证明 HTTP 请求何时来自人类而不是机器人。CAPTCHA 是当前的身份验证形式,但人类完成它需要时间。
Apple 在 WWDC 2022 上展示了名为 Private Access Tokens 的技术——它们可能会一劳永逸地杀死 CAPTCHA。
CAPTCHA 被称为完全自动化的公共图灵测试,可以区分计算机和人类,它是出现在网络上的图像或拼图。
使用一种名为PrivateToken的新HTTP认证方法,服务器使用密码学来验证客户端是否通过了iCloud认证检查。
当客户端需要一个令牌时,它会联系一个认证者--在这种情况下是苹果--使用存储在设备安全飞地中的证书执行这一过程。鉴定人还可以执行一种叫做速率限制的东西。
速率限制可以识别客户设备是否遵循典型的用户模式。
当一个苹果用户用密码、Touch ID或Face ID登录他们的设备,打开Safari浏览器并导航到一个网站时,他们的行为很难被机器人模仿。
在一个多步骤的过程中,经过签名的令牌最终被发送到服务器上。服务器不知道任何关于设备或访问它的人的信息。但它相信验证者,并验证令牌,然后该人被带到他们的目标网页。
网站只知道URL和客户端IP地址,而设备制造商或验证者只知道验证所需的最小设备数据量。它不知道目的地的URL或用户的IP地址。
令牌是一次性使用的,以此来限制重放攻击,重放攻击是指客户端试图多次出示令牌。
通过Safari和WebKit访问的网络服务器将自动使用PAT。其他设备可能无法识别令牌程序,因此苹果提醒开发者确保用户认证不会阻挡主网页,并将其作为可选项。
苹果表示,这些令牌需要运行iOS 16或macOS Ventura或更高版本的设备,并有一个Apple ID签名。Apple ID只用于证明,并不共享。