Herramienta de Prueba de Autenticación Web Bot Gratuita de Fingerprint para Desarrolladores de Agentes de IA

Qué es Web Bot Auth y por qué es importante

Web Bot Auth (WBA) es un estándar abierto emergente que avanza en el IETF y permite que clientes automatizados firmen criptográficamente sus solicitudes HTTP. Métodos de identificación heredados como las cadenas User-Agent pueden falsificarse fácilmente, y las listas de permitidos de IP son laboriosas y manipulables. WBA resuelve esto permitiendo a los operadores de bots generar pares de claves asimétricas, alojar claves públicas en directorios descubribles y firmar solicitudes salientes con claves privadas.

Cómo funciona la firma de Web Bot Auth

Una solicitud WBA correctamente firmada incluye tres encabezados:

• Signature-Input define los componentes que se firman y parámetros que incluyen: etiqueta establecida en web-bot-auth, keyid que coincide con la huella digital JSON Web Key (JWK) de tu clave de firma, marcas de tiempo created y expires, y un nonce (fuertemente recomendado para reducir el riesgo de repetición)
• Signature contiene la firma criptográfica real sobre esos componentes
• Signature-Agent apunta a tu directorio de claves, facilitando que los servidores descubran y almacenen en caché tu clave pública

Fingerprint requiere claves Ed25519, y tu directorio de claves debe estar alojado sobre HTTPS en /.well-known/http-message-signatures-directory, con la respuesta del directorio misma firmada para evitar que alguien más la replique.

La herramienta de prueba gratuita

La página de prueba de Web Bot Auth de Fingerprint es un endpoint público y gratuito donde puedes enviar una solicitud firmada y obtener retroalimentación clara sobre si tu firma se valida correctamente. No se requiere cuenta, y la herramienta de prueba es de código abierto con repositorios de frontend y backend disponibles.

El endpoint está en: fingerprint.com/web-bot-auth/test/

Comenzando con WBA

Si estás implementando WBA:

1. Genera un par de claves Ed25519 y convierte tu clave pública al formato JWK
2. Aloja tu directorio de claves en /.well-known/http-message-signatures-directory sobre HTTPS, con la respuesta del directorio firmada usando tu clave privada
3. Firma las solicitudes HTTP salientes de tu bot con los encabezados Signature-Input, Signature y Signature-Agent
4. Envía una solicitud de prueba a fingerprint.com/web-bot-auth/test/ para confirmar que todo se valida

Cuando tu bot firma solicitudes correctamente, los sitios que usan Fingerprint Bot Detection pueden identificarlo como un bot firmado en lugar de tratarlo como tráfico automatizado desconocido.