प्राइवेट स्टेट टोकन

लागू करने की स्थिति

प्राइवेट स्टेट टोकन क्या होते हैं?

   

प्राइवेट स्टेट टोकन की मदद से, उपयोगकर्ता के भरोसेमंद होने की जानकारी को एक कॉन्टेक्स्ट से दूसरे पर दिखाया जा सकता है. इससे, साइटों को पैसिव ट्रैकिंग के बिना, धोखाधड़ी से निपटने और इंसान और बॉट में अंतर करने में मदद मिलती है.

  • इश्यूअर वेबसाइट, ऐसे उपयोगकर्ता के वेब ब्राउज़र को टोकन जारी कर सकती है जो यह दिखाता है कि वह भरोसेमंद है. उदाहरण के लिए, खाते का लगातार इस्तेमाल करके, लेन-देन पूरा करके या स्वीकार किए जा सकने वाले reCAPTCHA स्कोर को हासिल करके.
  • रिडीमर वेबसाइट यह पुष्टि कर सकती है कि कोई उपयोगकर्ता नकली नहीं है. इसके लिए, वह यह देखती है कि उपयोगकर्ता के पास, रिडीमर के भरोसेमंद जारीकर्ता से मिले टोकन हैं या नहीं. इसके बाद, ज़रूरत के हिसाब से टोकन रिडीम किए जाते हैं.

निजी स्टेटस टोकन एन्क्रिप्ट (सुरक्षित) किए जाते हैं. इसलिए, किसी व्यक्ति की पहचान नहीं की जा सकती. साथ ही, उपयोगकर्ता की पहचान का पता लगाने के लिए, भरोसेमंद और अविश्वसनीय इंस्टेंस को कनेक्ट नहीं किया जा सकता.

हमें प्राइवेट स्टेट टोकन की ज़रूरत क्यों है?

वेब को भरोसे के सिग्नल सेट अप करने और उन्हें दिखाने के तरीकों की ज़रूरत है. इन सिग्नल से पता चलता है कि उपयोगकर्ता वही है जो वह कहता है. वह कोई बॉट नहीं है जो इंसान होने का दावा करता है या कोई नुकसान पहुंचाने वाला तीसरा पक्ष नहीं है जो किसी असल व्यक्ति या सेवा से धोखाधड़ी करता है. धोखाधड़ी से सुरक्षा, विज्ञापन देने वालों, विज्ञापन देने वाली कंपनियों, और सीडीएन के लिए खास तौर पर ज़रूरी है.

माफ़ करें, भरोसेमंदता का आकलन करने और उसे बढ़ावा देने के लिए, कई मौजूदा तरीकों में ऐसी तकनीकों का इस्तेमाल किया जाता है जिनका इस्तेमाल फ़िंगरप्रिंट के लिए भी किया जा सकता है. उदाहरण के लिए, यह पता लगाने के लिए कि किसी साइट के साथ इंटरैक्शन किसी असली व्यक्ति का है या नहीं. भरोसा दिलाने के लिए, निजता को बनाए रखना ज़रूरी है. इससे, हर उपयोगकर्ता की ट्रैकिंग किए बिना, सभी साइटों पर भरोसा दिलाया जा सकता है.

निजी स्टेटस टोकन एपीआई की मदद से, कोई वेबसाइट उस उपयोगकर्ता को क्रिप्टोग्राफ़िक टोकन जारी कर सकती है जिस पर उसे भरोसा है. इन टोकन का इस्तेमाल बाद में कहीं और किया जा सकता है. टोकन, उपयोगकर्ता के ब्राउज़र में सुरक्षित तरीके से सेव किए जाते हैं. इसके बाद, उपयोगकर्ता की पुष्टि करने के लिए, इन्हें अन्य संदर्भों में रिडीम किया जा सकता है. इससे, किसी उपयोगकर्ता की एक साइट (जैसे, सोशल मीडिया साइट या ईमेल सेवा) पर मौजूद भरोसे को, किसी दूसरी साइट (जैसे, पब्लिशर या ऑनलाइन स्टोर) पर भेजा जा सकता है. इसके लिए, उपयोगकर्ता की पहचान ज़ाहिर करने या सभी साइटों पर पहचानों को लिंक करने की ज़रूरत नहीं होती.

प्राइवेट स्टेट टोकन कैसे काम करते हैं?

इस उदाहरण में, पब्लिशर की वेबसाइट किसी विज्ञापन को दिखाने से पहले यह जांच करना चाहती है कि उपयोगकर्ता कोई असली व्यक्ति है या बॉट.

  1. कोई उपयोगकर्ता किसी वेबसाइट (जिसे इश्यूअर कहा जाता है) पर जाता है और ऐसी कार्रवाइयां करता है जिनसे साइट को यह भरोसा हो जाता है कि उपयोगकर्ता असल में एक इंसान है. जैसे, खरीदारी करना, ईमेल खाते का इस्तेमाल करना या reCAPTCHA को सही तरीके से पूरा करना.
  2. जारी करने वाली साइट, उपयोगकर्ता के ब्राउज़र के लिए ट्रस्ट टोकन का अनुरोध ट्रिगर करने के लिए, निजी स्टेटस टोकन JavaScript API का इस्तेमाल करती है.
  3. कार्ड जारी करने वाली साइट, टोकन डेटा के साथ जवाब देती है.
  4. उपयोगकर्ता का ब्राउज़र, ट्रस्ट टोकन का डेटा सुरक्षित तरीके से सेव करता है.
  5. उपयोगकर्ता किसी दूसरी वेबसाइट (जैसे, समाचार पब्लिशर) पर जाता है, जो यह पुष्टि करना चाहती है कि उपयोगकर्ता असल में कोई व्यक्ति है या नहीं. उदाहरण के लिए, विज्ञापन दिखाते समय.
  6. साइट, Private State Token API का इस्तेमाल करके यह जांच करती है कि उपयोगकर्ता के ब्राउज़र में, उन जारीकर्ताओं के लिए ट्रस्ट टोकन सेव हैं या नहीं जिन पर साइट भरोसा करती है.
  7. प्राइवेट स्टेट टोकन, उस जारीकर्ता के लिए मिलते हैं जिसकी वेबसाइट पर उपयोगकर्ता पहले गया था.
  8. पब्लिशर साइट, ट्रस्ट टोकन रिडीम करने के लिए जारी करने वाले को अनुरोध करती है.
  9. कार्ड जारी करने वाली साइट, रिडीम रिकॉर्ड के साथ जवाब देती है.
  10. पब्लिशर साइट, किसी विज्ञापन प्लैटफ़ॉर्म से अनुरोध करती है. इसमें रिडेंप्शन रिकॉर्ड भी शामिल होता है, ताकि यह दिखाया जा सके कि उपयोगकर्ता को जारी करने वाले को भरोसा है कि वह असल व्यक्ति है.
  11. विज्ञापन प्लैटफ़ॉर्म, विज्ञापन दिखाने के लिए ज़रूरी डेटा उपलब्ध कराता है.
  12. पब्लिशर की साइट पर विज्ञापन दिखता है.
  13. विज्ञापन व्यू इंप्रेशन की गिनती की जाती है.

क्या प्राइवेट स्टेट टोकन के लिए टूल उपलब्ध हैं?

Chrome DevTools, नेटवर्क और ऐप्लिकेशन टैब से जांच की सुविधा चालू करता है. इस DevTools इंटिग्रेशन और निजी स्टेटस टोकन के बारे में ज़्यादा पढ़ें.

वेबसाइटें, भरोसेमंद कई जारीकर्ताओं के टोकन को कैसे मैनेज करती हैं?

साइट, उपयोगकर्ता के ब्राउज़र में एक बार में एक ही जारीकर्ता के लिए, document.hasTrustToken() वाले मान्य टोकन की जांच कर सकती है. अगर इससे true दिखता है और कोई टोकन उपलब्ध है, तो साइट उस टोकन को रिडीम कर सकती है और दूसरे टोकन खोजना बंद कर सकती है.

वेबसाइट को यह तय करना होगा कि किन टोकन जारी करने वालों की जांच करनी है और किस क्रम में.

उपयोग के उदाहरण

प्राइवेट स्टेट टोकन (पीएसटी), धोखाधड़ी रोकने के लिए इस्तेमाल किए जाने वाले कई उदाहरणों के साथ काम करते हैं. पीएसटी, भरोसे के एक और सिग्नल के तौर पर काम कर सकता है. इसकी वजह यह है कि एपीआई, जानकारी के ऐसे हिस्सों को कोड में बदल सकता है जिनसे एक संदर्भ से दूसरे संदर्भ में भरोसा बढ़ाने में मदद मिलती है. तीसरे पक्ष की कुकी बंद होने के बाद, यह पक्का करना ज़रूरी होगा कि यहां दिए गए उदाहरणों जैसे इस्तेमाल के उदाहरण, अब भी ज़रूरत के हिसाब से काम कर सकें. पीएसटी के सभी इस्तेमाल के उदाहरणों के लिए, जारी करने वाले और रिडीम करने वाले, दोनों को एक साथ काम करना होगा. अगर आपके पास इनमें से किसी भी तरह के इस्तेमाल के उदाहरण हैं, तो आपको PST का इस्तेमाल करना चाहिए:

  • धोखाधड़ी रोकने वाली सेवाएं: धोखाधड़ी को रोकना, वेब के लिए एक सही इस्तेमाल का उदाहरण है. हालांकि, इसके लिए हर उपयोगकर्ता के लिए, एक स्थिर, ग्लोबल आइडेंटिफ़ायर की ज़रूरत नहीं होनी चाहिए. तीसरे पक्ष के संदर्भों में, उपयोगकर्ताओं को भरोसेमंद और गैर-भरोसेमंद सेट में बांटने के लिए, पीएसटी का इस्तेमाल किया जा सकता है.
  • विज्ञापन धोखाधड़ी का विश्लेषण करना: विज्ञापन टेक्नोलॉजी सेवाओं में धोखाधड़ी वाले क्लिक, इंप्रेशन, और बॉट स्कीम का विश्लेषण करने के लिए, पीएसटी का इस्तेमाल किया जा सकता है.
  • बॉट का पता लगाना: किसी ब्राउज़र के बॉट होने या न होने का विश्लेषण करने के बाद, पीएसटी उस जानकारी को कोड में बदलने में मदद कर सकता है, ताकि उसे एक कॉन्टेक्स्ट से दूसरे कॉन्टेक्स्ट में शेयर किया जा सके.
  • सुरक्षित पेमेंट: कार्डिंग जैसी धमकियों का पता लगाने के लिए, पीएसटी का इस्तेमाल किया जा सकता है. इन धमकियों की पहचान, तीसरे पक्ष के संदर्भ में सीमित जानकारी के साथ करना मुश्किल होता है. पीएसटी का इस्तेमाल, भरोसे को बढ़ाने के लिए एक अतिरिक्त सिग्नल के तौर पर किया जा सकता है.
  • ई-कॉमर्स में गलत इस्तेमाल को रोकने वाली सेवाएं: पेज को स्क्रेप करने और गैर-मानवीय इंटरैक्शन से बचने के लिए, ई-कॉमर्स इंटरैक्शन (क्लिक, चेकआउट, खरीदारी, प्रॉडक्ट रेटिंग, चैट बॉट, सामान लौटाना) में बॉट का पता लगाना बहुत ज़रूरी है. ई-कॉमर्स प्लैटफ़ॉर्म पर, धोखाधड़ी रोकने के लिए तीसरे पक्ष की सेवा देने वाली कंपनियों के लिए, ऑटोमेटेड एजेंट का पता लगाने के लिए यह एक अहम सिग्नल हो सकता है.
  • सीडीएन सेवाएं: पीएसटी, धोखाधड़ी वाले ट्रैफ़िक की रिपोर्टिंग और उसे पहचानने में मदद करने के लिए एक तरीका उपलब्ध कराता है.

इस्तेमाल के उदाहरणों की यह सूची, धोखाधड़ी रोकने वाली उन सभी सुविधाओं की पूरी सूची नहीं है जिनमें प्राइवेट स्टेट टोकन का फ़ायदा मिल सकता है. इस सूची में, एक-दूसरे से अलग-अलग एलिमेंट शामिल नहीं हैं. पीएसटी से, धोखाधड़ी रोकने वाले कई वर्कफ़्लो को फ़ायदा मिल सकता है.

उपयोगकर्ता की गतिविधियां

प्राइवेट स्टेट टोकन जारी करना और रिडीम करना, इनके मुख्य कॉम्पोनेंट हैं. पहले बताए गए इस्तेमाल के उदाहरण, ऐसे मुख्य क्षेत्र हैं जहां पीएसटी काम करेंगे. हालांकि, उपयोगकर्ता के सफ़र के दौरान इन पलों को ऐसे उदाहरण के तौर पर देखा जा सकता है जहां आपको टोकन जारी करने या रिडीम करने हैं:

  • खाता मैनेज करने के दौरान टोकन जारी करना (लॉगिन, साइन अप, पासवर्ड रीसेट करना वगैरह)
  • कई तरीकों से पुष्टि (MFA) करने के बाद टोकन जारी करना
  • ज़्यादा जोखिम वाली कार्रवाइयों के बाद टोकन जारी करना. जैसे, पेमेंट का इतिहास मिटाना
  • कम जोखिम वाली कार्रवाइयों से पहले, अलग-अलग साइटों पर पुष्टि करने के लिए टोकन रिडीम करना
  • ज़्यादा जोखिम वाली कार्रवाइयों से पहले, अलग-अलग साइटों पर पुष्टि करने के लिए टोकन रिडीम करना

ई-निजता कानूनों का पालन करना

निजी स्टेटस टोकन जारी करने के लिए, उपयोगकर्ता के टर्मिनल डिवाइस पर जानकारी सेव की जाती है. इसलिए, यह गतिविधि यूरोपियन इकनॉमिक एरिया (ईईए) और यूनाइटेड किंगडम के ई-निजता कानूनों के दायरे में आती है. आम तौर पर, इसके लिए उपयोगकर्ता की सहमति की ज़रूरत होती है. जारी करने वाले के तौर पर, यह तय करना आपकी ज़िम्मेदारी है कि उपयोगकर्ता के साफ़ तौर पर अनुरोध की गई ऑनलाइन सेवा देने के लिए, Private State Tokens API का इस्तेमाल करना वाकई ज़रूरी है या नहीं. इसलिए, सहमति की ज़रूरत से छूट मिल सकती है. ज़्यादा जानकारी के लिए, हमारा सुझाव है कि आप Privacy Sandbox के बारे में निजता से जुड़ी शर्तों के पालन के बारे में अक्सर पूछे जाने वाले सवाल पढ़ें.

दर्शकों से जुड़ना और सुझाव, राय या शिकायत शेयर करना

ज़्यादा जानें