Private Access Tokens, dibaca sebagai isyarat kepercayaan.
Industri sedang membina token pengesahan kriptografi yang membuktikan bahawa permintaan datang daripada peranti sebenar tanpa mengenal pasti pengguna. CaptchaLa menerima token ini supaya pelawat yang disahkan lalu tanpa cabaran, dan beralih kepada pengesahan berasaskan risiko untuk yang lain. Kami melengkapi pengesahan, bukan digantikan olehnya.
Apa itu token pengesahan
Token pengesahan ialah pernyataan bertandatangan bahawa permintaan datang daripada pelayar atau peranti tulen. Peranti membuktikan dirinya kepada platformnya, platform mengeluarkan token, dan tapak anda menerima token itu sebaliknya daripada meminta orang menyelesaikan CAPTCHA. Token itu tidak membawa identiti, jadi ia tidak menjejaki pengguna merentas tapak.
Pada web, ini dibina di atas Private Access Tokens dan Privacy Pass (RFC 9576). Sambungan yang lebih baharu, PACT — Private Access Control Tokens — dicadangkan pada Jun 2026 oleh Cloudflare, Chrome, Firefox, Edge dan Shopify untuk meluaskan cara token ini dikeluarkan dan digunakan.
Matlamatnya adalah membenarkan pengguna sebenar melangkau cabaran dengan lebih kerap, sambil mengekalkan pengesahan yang peribadi melalui reka bentuk.
PACT ialah cadangan awal dan masih beberapa tahun daripada penyebaran meluas. CaptchaLa menyokong mekanisme Private Access Tokens / Privacy Pass sedia ada pada hari ini dan mengikuti cadangan itu sambil ia berkembang. Tiada satu pun daripada ini memerlukan anda menunggu.
Bagaimana CaptchaLa menggunakannya
Kami menganggap token pengesahan sebagai satu isyarat kepercayaan antara beberapa, bukan sebagai keseluruhan keputusan. Aliran ini mudah:
Token disahkan, langkau cabaran
Jika token pengesahan yang sah hadir, kami mengesahkannya terhadap kunci awam pengeluar. Pelawat berisiko rendah dengan token yang disahkan lalu tanpa cabaran interaktif.
Beralih kepada pengesahan berasaskan risiko
Jika tiada token, atau ia tidak dapat disahkan, CaptchaLa menggunakan enjin risikonya sendiri — isyarat peranti, rangkaian dan tingkah laku — dan hanya menunjukkan cabaran apabila permintaan kelihatan mencurigakan.
Di mana ia berfungsi: web berbanding asli
Pengesahan tidak sama di mana-mana. Berikut gambaran tepat tentang apa yang berfungsi secara automatik dan apa yang memerlukan konfigurasi anda.
Web — Private Access Tokens / Privacy Pass
AutomatikPada web, CaptchaLa mengesahkan Private Access Tokens terhadap kunci awam pengeluar. Tiada apa-apa untuk anda sediakan — pelayar dan peranti yang disokong menghasilkan token, dan kami membacanya.
iOS App Attest / Android Play Integrity
Pilihan, anda konfigurasikanPengesahan asli ini terikat kepada identiti pembangun aplikasi anda sendiri, bukan kepada pengeluar awam. Ia hanya boleh berfungsi sebagai isyarat pilihan yang anda konfigurasikan untuk aplikasi anda sendiri, jadi ia tidak automatik untuk semua orang.
Aplikasi asli selain itu
Isyarat risiko kami sendiriApabila pengesahan platform tidak dikonfigurasikan, aplikasi asli bergantung pada isyarat risiko peranti dan tingkah laku CaptchaLa sendiri — enjin yang sama yang melindungi sandaran web.
Pengesahan menyatakan "peranti sebenar." Kami menambah "sebenar dan tidak menyalahgunakan."
Pengesahan boleh mengesahkan bahawa permintaan datang daripada peranti tulen. Ia tidak boleh memberitahu anda sama ada peranti itu digunakan untuk menyalahgunakan perkhidmatan anda. Jurang itulah tempat nilai tahan lama CaptchaLa berada — dan ia tidak hilang apabila pengesahan dilancarkan.
Credential stuffing
Peranti sebenar yang menjalankan senarai nama pengguna dan kata laluan yang dicuri masih kelihatan seperti peranti sebenar kepada token pengesahan. Enjin risiko kami menangkap corak itu.
Ladang proksi dan bot
Penyalahgunaan teragih daripada banyak peranti tulen lulus pengesahan tetapi gagal pemarkahan tingkah laku dan rangkaian.
Penyalahgunaan OTP dan pendaftaran
Penciptaan akaun secara pukal dan ladang kata laluan sekali guna datang daripada telefon sebenar. Kami menilai niat, bukan hanya ketulenan peranti.
Penipuan dan penyalahgunaan kandungan
Penipuan pembayaran, spam dan muat naik berbahaya adalah tentang tingkah laku, yang tidak diukur oleh pengesahan — dan yang dilakukan oleh enjin risiko dan moderasi kandungan kami.
Sedia apabila pengesahan sedia — dan melindungi anda sekarang.
Peringkat percuma disertakan. Tiada kad kredit diperlukan.