지문 인식의 AI 에이전트 개발자를 위한 무료 웹 봇 인증 테스트 도구

Web Bot Auth란 무엇이며 왜 중요한가

Web Bot Auth(WBA)는 IETF를 통해 진행 중인 새로운 오픈 표준으로, 자동화된 클라이언트가 HTTP 요청에 암호화 서명을 할 수 있도록 합니다. User-Agent 문자열과 같은 기존 식별 방법은 쉽게 위조될 수 있으며, IP 허용 목록은 시간이 많이 소요되고 조작 가능합니다. WBA는 봇 운영자가 비대칭 키 쌍을 생성하고, 공개 키를 검색 가능한 디렉토리에 호스팅하며, 개인 키로 발신 요청에 서명할 수 있도록 함으로써 이 문제를 해결합니다.

Web Bot Auth 서명 작동 방식

올바르게 서명된 WBA 요청에는 세 가지 헤더가 포함됩니다:

• Signature-Input은 서명되는 구성 요소와 다음 매개변수를 정의합니다: 태그를 web-bot-auth로 설정, 서명 키의 JSON Web Key(JWK) 지문과 일치하는 keyid, created 및 expires 타임스탬프, 그리고 nonce(재전송 위험을 줄이기 위해 강력히 권장됨)
• Signature는 해당 구성 요소에 대한 실제 암호화 서명을 포함합니다
• Signature-Agent는 사용자의 키 디렉토리를 가리켜 서버가 공개 키를 더 쉽게 발견하고 캐시할 수 있도록 합니다

Fingerprint는 Ed25519 키를 요구하며, 키 디렉토리는 /.well-known/http-message-signatures-directory에서 HTTPS를 통해 호스팅되어야 하고, 디렉토리 응답 자체도 서명되어 다른 사람이 이를 미러링하는 것을 방지해야 합니다.

무료 테스트 도구

Fingerprint의 Web Bot Auth 테스트 페이지는 서명된 요청을 보내고 서명이 올바르게 검증되는지 명확한 피드백을 받을 수 있는 무료 공개 엔드포인트입니다. 계정이 필요하지 않으며, 테스트 도구는 오픈 소스로 프론트엔드 및 백엔드 저장소를 이용할 수 있습니다.

엔드포인트는 다음과 같습니다: fingerprint.com/web-bot-auth/test/

WBA 시작하기

WBA를 구현하는 경우:

1. Ed25519 키 쌍을 생성하고 공개 키를 JWK 형식으로 변환합니다
2. 키 디렉토리를 /.well-known/http-message-signatures-directory에서 HTTPS를 통해 호스팅하고, 디렉토리 응답을 개인 키를 사용하여 서명합니다
3. 봇의 발신 HTTP 요청에 Signature-Input, Signature, Signature-Agent 헤더로 서명합니다
4. fingerprint.com/web-bot-auth/test/로 테스트 요청을 보내 모든 것이 올바르게 검증되는지 확인합니다

봇이 요청을 올바르게 서명하면, Fingerprint Bot Detection을 사용하는 사이트는 이를 알 수 없는 자동화 트래픽으로 취급하는 대신 서명된 봇으로 식별할 수 있습니다.