最近,苹果又来“整顿”手机厂商了。
有传言称,新版 iOS 16 将加入一个名为「自动验证」的新功能,可跳过网页和App 中的人机验证流程,升级了iOS 16 测试版的用户,可以进入「设置」—「Apple ID」—「密码与安全性」,在页面最下方找到这个功能。
什么意思呢?
以前,当你打开苹果的某个App时,系统首先要证明你是“人”而不是“机器”,需要识别验证码来证明你是你,通过了就证明你是可以被信任的。现在,苹果为用户直接略过了验证码这一环节,也就是说,苹果抢先一步通过算法证明了你是你。
对于这一更新,不少果粉直呼:“真的太人性了”。
无感验证将是未来新趋势
那么,苹果是如何实现绕过“验证码”的呢?
答案就是苹果运用了一种全新、开放的验证机制——私密证明令牌(Private Access Tokens ,缩写为PAT)。
PAT 并不指代某一种技术或某一种服务,而是一个验证用户的协议。它需要Client、Mediator、Issuer和Origin参与,才能完成整个验证,如下图:
这次自动验证是苹果与云服务商Cloudflare合作完成的,实现过程如下(以用户使用浏览器访问某个网站的场景为例):
整个流程包含四个模块,即浏览器、苹果手机系统、云服务商Cloudflare,网站后台;其中网站后台需部署在Cloudflare上。
首先,用户使用浏览器访问网站时,因网站后台部署在Cloudflare上,Cloudflare会要求浏览器必须携带token。
紧接着,浏览器会调用苹果系统服务进行检测,系统服务会检测当前设备的合法性,是否是可信设备,检查通过后会通知Cloudflare,Cloudflare下发token给到浏览器。
最后,浏览器携带token访问网站(Origin),云服务商Cloudflare做网关代理,作为Origin角色来验证token的有效性,放行访问网站。