التحدي: رموز الوصول الخاصة – اكتشف

تعد رموز الوصول الخاصة أدوات قوية تثبت متى تأتي طلبات HTTP من أجهزة شرعية دون الكشف عن هوية شخص ما. يمكن أن يساعدك هذا الدليل على تقليل عدد المرات التي تعرض فيها اختبارات CAPTCHA للأشخاص. إنها سهلة الإعداد والاختبار – ولذا فإننا ندعوك في هذا التحدي لتجربة رموز الوصول الخاصة على الخادم الخاص بك.

قبل أن تبدأ، تأكد من مشاهدة “استبدال اختبارات CAPTCHA برموز الوصول الخاصة” للحصول على نظرة عامة على الميزة.

ابدأ التحدي

من السهل إضافة دعم لرموز الوصول الخاصة على خوادمك: يمكن لخادمك إرسال اختبار مصادقة HTTP لمطالبة العملاء بتقديم رمز مميز موقع من قبل جهة إصدار الرمز المميز التي تثق بها. يمكنك بعد ذلك التحقق من صحة الرموز المميزة باستخدام المفتاح العام الخاص بجهة الإصدار.

اختر جهة إصدار الرمز المميز
لاعتماد رموز الوصول الخاص، ستحتاج أولاً إلى اختيار مصدر الرمز المميز. يجب أن يتضمن الخادم الخاص بك اسم المضيف لمصدر الرمز المميز والمفتاح العام في التحديات المرسلة إلى العملاء. يمكنك الاختبار مع جهات إصدار الرمز المميز من Cloudflare وFastly عند استخدام iOS 16 وmacOS Ventura. لكل جهة إصدار، يمكنك البحث عن المفتاح العام باستخدام تنسيق URL https://<issuer name>/.well-known/token-issuer-directory. يمكنك جلب أحد عناوين URL التالية من الخادم الخاص بك للحصول على معلومات جهة الإصدار:

Cloudflare — https://demo-pat.issuer.cloudflare.com/.well-known/token-issuer-directory

Fastly — https://demo-issuer.private-access-tokens.fastly.com/.well-known/token-issuer-directory

تعرف على المزيد حول رموز الوصول الخاصة وCloudflare

تعرف على المزيد حول رموز الوصول الخاصة وFastly

تحدي الرمز والفداء
لإرسال تحدي، يحتاج الخادم الخاص بك إلى نشر استجابة HTTP 401 لطلب مقدم من العميل برأس “WWW-Authenticate” الذي يحتوي على اختبار “PrivateToken”. يحتوي هذا الرأس على سمتين: “challenge”، التي تحتوي على بنية TokenChallenge بتشفير base64url؛ و”مفتاح الرمز المميز”، الذي يحتوي على المفتاح العام لمصدر الرمز المميز باستخدام تشفير base64url.

WWW-Authenticate: PrivateToken challenge=, token-key=

تحتوي بنية TokenChallenge على نوع الرمز المميز، واسم المضيف للمصدر، وسياق اختياري لربط التحدي الخاص بك، واسم مضيف الخادم الخاص بك. يدعم iOS 16 وmacOS Ventura الرمز المميز من النوع 2، والذي يستخدم توقيعات RSA Blind Signatures التي يمكن التحقق منها بشكل عام.

struct {
    uint16_t token_type;               // 0x0002, in network-byte order
    uint16_t issuer_name_length;       // Issuer name length, in network-byte order
    char issuer_name[];                // Hostname of the token issuer
    uint8_t redemption_context_length; // Redemption context length (0 or 32)
    uint8_t redemption_context[];      // Redemption context, either 0 or 32 bytes
    uint16_t origin_info_length;       // Origin info length, in network-byte order
    char origin_info[];                // Hostname of your server
} TokenChallenge; 

تأتي استجابات الرموز المميزة في رأس “التفويض”. يحتوي هذا على سمة “الرمز المميز”، وهي رمز مميز لـ RSA Blind Signature باستخدام تشفير base64url. استخدم المفتاح العام لمصدر الرمز المميز للتحقق من هذا الرمز المميز.

Authorization: PrivateToken token=

ملاحظة: عند إرسال اختبارات الرمز المميز، لا تمنع تحميل الصفحة الرئيسية. تأكد من أن أي عملاء لا يدعمون الرموز المميزة لا يزال بإمكانهم الوصول إلى موقع الويب الخاص بك!

اعتماد نظام مصادقة HTTP “PrivateToken”.

بروتوكول إصدار الرموز المميزة التي يمكن التحقق منها بشكل عام

الآن بعد أن عرفت كيفية إعداد رموز الوصول الخاصة، استكشف إرسال تحديات الرموز المميزة في موقع الويب الخاص بك. اختبر موقعك مع العملاء الذين يدعمون رموز الوصول الخاصة – وتلك التي لا تدعمها! – واكتشف كيف يمكنك جعل اختبارات CAPTCHA الخاصة بك تظهر فقط للعملاء الذين لا يدعمون رموز الوصول الخاصة.

هل لديك أسئلة حول اعتماد هذه الميزة؟ تحقق من الأسئلة والأجوبة حول رموز الوصول الخاصة صباح يوم الخميس. ولا تنس مشاركة تجاربك الخالية من اختبار CAPTCHA على Twitter باستخدام الوسم #WWDC22Challenges!

استكشف #WWDC22Challenges على وسائل التواصل الاجتماعي

اقرأ شروط وأحكام تحديات WWDC22