Private Access Tokens, bir güven sinyali olarak okunur.
Sektör, bir isteğin kullanıcıyı tanımlamadan gerçek bir cihazdan geldiğini kanıtlayan kriptografik tasdik token'ları geliştiriyor. CaptchaLa bu token'ları alır; böylece doğrulanmış ziyaretçiler bir doğrulama olmadan geçer ve geri kalan herkes için riske dayalı doğrulamaya geri döner. Tasdiki tamamlayıcı nitelikteyiz, onun yerini almıyoruz.
Tasdik token'ları nedir
Tasdik token'ı, bir isteğin gerçek bir tarayıcı veya cihazdan geldiğini belirten imzalı bir ifadedir. Cihaz kendini platformuna kanıtlar, platform bir token verir ve siteniz, kişiden bir CAPTCHA çözmesini istemek yerine token'ı alır. Token hiçbir kimlik taşımaz, dolayısıyla kullanıcıyı siteler arasında izlemez.
Web'de bu, Private Access Tokens ve Privacy Pass (RFC 9576) üzerine kuruludur. Daha yeni bir uzantı olan PACT — Private Access Control Tokens — bu token'ların verilme ve kullanılma biçimini genişletmek için Haziran 2026'da Cloudflare, Chrome, Firefox, Edge ve Shopify tarafından önerildi.
Amaç, gerçek kullanıcıların doğrulamaları daha sık atlamasını sağlarken doğrulamayı tasarımdan gelen gizlilikle korumaktır.
PACT erken bir öneridir ve yaygın dağıtımdan yıllar uzaktadır. CaptchaLa mevcut Private Access Tokens / Privacy Pass mekanizmasını bugün destekler ve öneri geliştikçe takip eder. Bunların hiçbiri beklemenizi gerektirmez.
CaptchaLa bunları nasıl kullanır
Bir tasdik token'ını, kararın tamamı olarak değil, birkaç güven sinyalinden biri olarak ele alırız. Akış basittir:
Doğrulanmış token, doğrulamayı atla
Geçerli bir tasdik token'ı mevcutsa, bunu veren tarafın açık anahtarına karşı doğrularız. Doğrulanmış token'a sahip düşük riskli bir ziyaretçi, etkileşimli bir doğrulama olmadan geçer.
Riske dayalı doğrulamaya geri dön
Token yoksa veya doğrulanamıyorsa, CaptchaLa kendi risk motorunu — cihaz, ağ ve davranış sinyalleri — kullanır ve yalnızca istek şüpheli göründüğünde bir doğrulama gösterir.
Nerede çalışır: web ve yerel
Tasdik her yerde aynı değildir. Otomatik olarak neyin çalıştığına ve neyin sizin yapılandırmanızı gerektirdiğine dair doğru tablo aşağıdadır.
Web — Private Access Tokens / Privacy Pass
OtomatikWeb'de CaptchaLa, Private Access Tokens'ı bunu veren tarafın açık anahtarına karşı doğrular. Kurmanız gereken hiçbir şey yoktur — desteklenen tarayıcılar ve cihazlar token'ı üretir, biz de onu okuruz.
iOS App Attest / Android Play Integrity
İsteğe bağlı, siz yapılandırırsınızBu yerel tasdikler, açık bir verici tarafa değil, uygulamanızın kendi geliştirici kimliğine bağlıdır. Yalnızca kendi uygulamanız için yapılandırdığınız isteğe bağlı bir sinyal olarak çalışabilirler, dolayısıyla herkes için otomatik değildirler.
Diğer durumlarda yerel uygulamalar
Kendi risk sinyallerimizPlatform tasdikinin yapılandırılmadığı yerlerde, yerel uygulamalar CaptchaLa'nın kendi cihaz ve davranış risk sinyallerine dayanır — web geri dönüşünü koruyan motorun aynısı.
Tasdik "gerçek cihaz" der. Biz "gerçek ve kötüye kullanmıyor" ekleriz.
Tasdik, bir isteğin gerçek bir cihazdan geldiğini teyit edebilir. O cihazın hizmetinizi kötüye kullanmak için kullanılıp kullanılmadığını söyleyemez. CaptchaLa'nın kalıcı değeri bu boşlukta yaşar — ve tasdik geldiğinde de ortadan kalkmaz.
Kimlik bilgisi doldurma
Çalınmış kullanıcı adı ve parola listelerini çalıştıran gerçek cihazlar, bir tasdik token'ına yine gerçek cihaz gibi görünür. Risk motorumuz bu örüntüyü yakalar.
Proxy ve bot çiftlikleri
Birçok gerçek cihazdan gelen dağıtık kötüye kullanım tasdiki geçer, ancak davranış ve ağ puanlamasında başarısız olur.
OTP ve kayıt kötüye kullanımı
Toplu hesap oluşturma ve tek seferlik parola çiftçiliği gerçek telefonlardan gelir. Yalnızca cihaz gerçekliğini değil, niyeti puanlarız.
Dolandırıcılık ve içerik kötüye kullanımı
Ödeme dolandırıcılığı, spam ve zararlı yüklemeler davranışla ilgilidir; tasdik bunu ölçmez — risk motorumuz ve içerik moderasyonumuz ise ölçer.
Tasdik hazır olduğunda hazır — ve sizi şimdi koruyor.
Ücretsiz katman dahildir. Kredi kartı gerekmez.