Outil de test d'authentification Web Bot gratuit de Fingerprint pour les développeurs d'agents IA

Qu'est-ce que Web Bot Auth et pourquoi c'est important

Web Bot Auth (WBA) est un standard ouvert émergent en cours de développement au sein de l'IETF qui permet aux clients automatisés de signer cryptographiquement leurs requêtes HTTP. Les méthodes d'identification traditionnelles comme les chaînes User-Agent peuvent être facilement usurpées, et les listes d'autorisation IP sont chronophages et contournables. WBA résout ce problème en permettant aux opérateurs de bots de générer des paires de clés asymétriques, d'héberger des clés publiques dans des répertoires accessibles et de signer les requêtes sortantes avec des clés privées.

Comment fonctionne la signature Web Bot Auth

Une requête WBA correctement signée comprend trois en-têtes :

• Signature-Input définit les composants signés et les paramètres, notamment : un tag défini sur web-bot-auth, un keyid correspondant à l'empreinte JSON Web Key (JWK) de votre clé de signature, des horodatages created et expires, et un nonce (fortement recommandé pour réduire le risque de rejeu)
• Signature contient la signature cryptographique réelle de ces composants
• Signature-Agent pointe vers votre répertoire de clés, facilitant la découverte et la mise en cache de votre clé publique par les serveurs

Fingerprint exige des clés Ed25519, et votre répertoire de clés doit être hébergé via HTTPS à l'adresse /.well-known/http-message-signatures-directory, avec la réponse du répertoire elle-même signée pour empêcher quiconque de la dupliquer.

L'outil de test gratuit

La page de test Web Bot Auth de Fingerprint est un point de terminaison public et gratuit où vous pouvez envoyer une requête signée et obtenir un retour clair sur la validité de votre signature. Aucun compte n'est requis, et l'outil de test est open source avec des dépôts frontend et backend disponibles.

Le point de terminaison se trouve à : fingerprint.com/web-bot-auth/test/

Commencer avec WBA

Si vous implémentez WBA :

1. Générez une paire de clés Ed25519 et convertissez votre clé publique au format JWK
2. Hébergez votre répertoire de clés à l'adresse /.well-known/http-message-signatures-directory via HTTPS, avec la réponse du répertoire signée à l'aide de votre clé privée
3. Signez les requêtes HTTP sortantes de votre bot avec les en-têtes Signature-Input, Signature et Signature-Agent
4. Envoyez une requête de test à fingerprint.com/web-bot-auth/test/ pour confirmer que tout est validé

Lorsque votre bot signe correctement les requêtes, les sites utilisant Fingerprint Bot Detection peuvent l'identifier comme un bot signé plutôt que de le traiter comme un trafic automatisé inconnu.