Бесплатный инструмент Fingerprint для тестирования аутентификации веб-ботов для разработчиков AI-агентов

Что такое Web Bot Auth и почему это важно

Web Bot Auth (WBA) — это развивающийся открытый стандарт, проходящий утверждение в IETF, который позволяет автоматизированным клиентам криптографически подписывать свои HTTP-запросы. Устаревшие методы идентификации, такие как строки User-Agent, легко подделать, а списки разрешённых IP-адресов требуют много времени и могут быть обойдены. WBA решает эту проблему, позволяя операторам ботов генерировать асимметричные пары ключей, размещать открытые ключи в доступных для обнаружения директориях и подписывать исходящие запросы закрытыми ключами.

Как работает подпись Web Bot Auth

Правильно подписанный WBA-запрос включает три заголовка:

• Signature-Input определяет компоненты, которые подписываются, и параметры, включая: тег, установленный в web-bot-auth, keyid, соответствующий отпечатку JSON Web Key (JWK) вашего ключа подписи, временные метки created и expires, и nonce (настоятельно рекомендуется для снижения риска повторного использования)
• Signature содержит фактическую криптографическую подпись этих компонентов
• Signature-Agent указывает на вашу директорию ключей, что упрощает серверам обнаружение и кэширование вашего открытого ключа

Fingerprint требует ключи Ed25519, и ваша директория ключей должна быть размещена по HTTPS по адресу /.well-known/http-message-signatures-directory, причём ответ самой директории должен быть подписан, чтобы предотвратить её копирование другими.

Бесплатный инструмент для тестирования

Тестовая страница Web Bot Auth от Fingerprint — это бесплатный публичный эндпоинт, куда вы можете отправить подписанный запрос и получить чёткую обратную связь о том, проходит ли ваша подпись проверку. Аккаунт не требуется, а инструмент для тестирования имеет открытый исходный код с доступными репозиториями фронтенда и бэкенда.

Эндпоинт находится по адресу: fingerprint.com/web-bot-auth/test/

Начало работы с WBA

Если вы внедряете WBA:

1. Сгенерируйте пару ключей Ed25519 и преобразуйте ваш открытый ключ в формат JWK
2. Разместите вашу директорию ключей по адресу /.well-known/http-message-signatures-directory через HTTPS, подписав ответ директории с использованием вашего закрытого ключа
3. Подпишите исходящие HTTP-запросы вашего бота заголовками Signature-Input, Signature и Signature-Agent
4. Отправьте тестовый запрос на fingerprint.com/web-bot-auth/test/, чтобы подтвердить успешную проверку

Когда ваш бот правильно подписывает запросы, сайты, использующие Fingerprint Bot Detection, могут идентифицировать его как подписанного бота, а не рассматривать как неизвестный автоматизированный трафик.