Mã thông báo trạng thái riêng tư

Trạng thái triển khai

Mã thông báo trạng thái riêng tư là gì?

   

Mã thông báo trạng thái riêng tư cho phép truyền tải niềm tin vào tính xác thực của người dùng từ bối cảnh này sang bối cảnh khác, giúp các trang web chống lại hành vi lừa đảo và phân biệt bot với người thật mà không cần theo dõi thụ động.

  • Trang web của công ty phát hành có thể cấp mã thông báo cho trình duyệt web của một người dùng cho thấy họ đáng tin cậy, chẳng hạn như thông qua việc tiếp tục sử dụng tài khoản, bằng cách hoàn tất một giao dịch hoặc bằng cách nhận được điểm số ReCAPTCHA chấp nhận được.
  • Trang web của người đổi thưởng có thể xác nhận rằng người dùng không phải là người giả mạo bằng cách kiểm tra xem họ có mã thông báo từ một trình phát hành mà người đổi thưởng tin tưởng hay không và sau đó sử dụng mã thông báo nếu cần.

Mã thông báo trạng thái riêng tư được mã hoá. Vì vậy, không thể xác định một cá nhân hoặc kết nối các thực thể đáng tin cậy và không đáng tin cậy với mục đích khám phá danh tính người dùng.

Tại sao chúng tôi cần Mã thông báo trạng thái riêng tư?

Web cần có những cách để thiết lập và truyền tải các tín hiệu đáng tin cậy, cho thấy rằng người dùng là người như họ nói, chứ không phải là bot giả làm người hoặc bên thứ ba độc hại nhằm lừa đảo người thực hoặc dịch vụ thực. Việc chống gian lận đặc biệt quan trọng đối với nhà quảng cáo, nhà cung cấp quảng cáo và CDN.

Đáng tiếc là hiện có nhiều cơ chế để đánh giá và truyền tải mức độ tin cậy (ví dụ: xác định xem một lượt tương tác với trang web có phải là của người thực hay không) hãy tận dụng các kỹ thuật cũng có thể dùng để tạo vân tay số. Cơ chế để chuyển tải niềm tin phải bảo vệ quyền riêng tư, cho phép truyền tải niềm tin trên nhiều trang web mà không cần theo dõi từng người dùng.

Với API Mã thông báo trạng thái riêng tư, một trang web có thể cấp mã thông báo mã hoá cho người dùng mà trang web tin tưởng, sau đó có thể được dùng ở nơi khác. Mã thông báo được trình duyệt của người dùng lưu trữ an toàn và sau đó có thể được sử dụng trong các ngữ cảnh khác để xác nhận tính xác thực của người dùng. Điều này cho phép chuyển sự tin tưởng của người dùng trên một trang web (chẳng hạn như trang mạng xã hội hoặc dịch vụ email) đến một trang web khác (chẳng hạn như nhà xuất bản hoặc cửa hàng trực tuyến) mà không cần xác định danh tính người dùng hoặc liên kết danh tính giữa các trang web.

Mã thông báo trạng thái riêng tư hoạt động như thế nào?

Trong ví dụ này, trang web của nhà xuất bản muốn kiểm tra xem người dùng có phải là người thực chứ không phải bot hay không trước khi hiển thị quảng cáo.

  1. Một người dùng truy cập vào một trang web (còn gọi là trình phát hành) và thực hiện các hành động khiến trang web đó tin rằng người dùng là người thực, chẳng hạn như mua hàng, sử dụng tài khoản email hoặc hoàn tất thành công reCAPTCHA.
  2. Trang web của công ty phát hành sử dụng API JavaScript Mã thông báo trạng thái riêng tư để kích hoạt yêu cầu mã thông báo tin cậy cho trình duyệt của người dùng.
  3. Trang web của công ty phát hành phản hồi bằng dữ liệu mã thông báo.
  4. Trình duyệt của người dùng lưu trữ dữ liệu một cách an toàn cho mã thông báo tin cậy.
  5. Người dùng truy cập vào một trang web khác (chẳng hạn như nhà xuất bản tin tức) muốn xác minh xem người dùng có phải là người thực hay không, chẳng hạn như khi hiển thị quảng cáo.
  6. Trang web sẽ sử dụng API Mã thông báo trạng thái riêng tư để kiểm tra xem trình duyệt của người dùng có lưu trữ mã thông báo tin cậy cho các trình phát hành mà trang web tin cậy hay không.
  7. Tìm thấy mã thông báo trạng thái riêng tư cho tài khoản phát hành mà người dùng đã truy cập trước đó.
  8. Trang web của nhà xuất bản gửi yêu cầu tới công ty phát hành để sử dụng mã thông báo tin cậy.
  9. Trang web của công ty phát hành phản hồi bằng một Hồ sơ đổi thưởng.
  10. Trang web của nhà xuất bản gửi yêu cầu đến một nền tảng quảng cáo, bao gồm cả Hồ sơ đổi thưởng để cho biết rằng người dùng được nhà phát hành tin tưởng là người thực.
  11. Nền tảng quảng cáo cung cấp dữ liệu cần thiết để hiển thị quảng cáo.
  12. Trang web của nhà xuất bản hiển thị quảng cáo.
  13. Một lượt hiển thị lượt xem quảng cáo được tính.

Có công cụ dành cho Mã thông báo trạng thái riêng tư không?

Công cụ của Chrome cho nhà phát triển sẽ bật tính năng kiểm tra từ thẻ Mạng và ứng dụng. Đọc thêm về quá trình tích hợp DevToolsMã thông báo trạng thái riêng tư.

Trang web xử lý mã thông báo từ nhiều nhà phát hành đáng tin cậy như thế nào?

Trang web có thể kiểm tra trình duyệt của người dùng để tìm mã thông báo hợp lệ bằng document.hasTrustToken() cho một nhà phát hành tại một thời điểm. Nếu phương thức này trả về true và có một mã thông báo, trang web có thể sử dụng mã thông báo đó và ngừng tìm các mã thông báo khác.

Trang web phải quyết định nhà phát hành mã thông báo nào cần kiểm tra và thứ tự kiểm tra.

Trường hợp sử dụng

Mã thông báo trạng thái riêng tư (PST) hỗ trợ nhiều trường hợp sử dụng chống gian lận. Về cốt lõi, PST có thể đóng vai trò là một tín hiệu tin cậy bổ sung vì API có thể mã hoá các phần thông tin giúp truyền tải niềm tin từ ngữ cảnh này sang ngữ cảnh khác. Khi cookie của bên thứ ba ngừng hoạt động, chúng tôi nhận thấy rằng điều quan trọng là phải đảm bảo rằng các trường hợp sử dụng như sau vẫn có thể hoạt động khi cần. Tất cả các trường hợp sử dụng của PST đều yêu cầu cả nhà phát hành và người sử dụng ưu đãi phải làm việc cùng nhau. Bạn có thể cân nhắc việc sử dụng PST nếu có những trường hợp sử dụng tương tự như bất kỳ trường hợp nào sau đây:

  • Dịch vụ chống gian lận: Ngăn chặn gian lận là một trường hợp sử dụng hợp pháp mà web nên hỗ trợ, nhưng không nhất thiết phải có giá trị nhận dạng chung ổn định cho mỗi người dùng. Trong bối cảnh của bên thứ ba, PST có thể được dùng để phân đoạn người dùng thành các nhóm đáng tin cậy và không đáng tin cậy.
  • Phân tích hành vi gian lận trong quảng cáo: PST có thể giúp ích cho việc phân tích các lượt nhấp, lượt hiển thị và mưu đồ bot gian lận trong các dịch vụ công nghệ quảng cáo.
  • Phát hiện bot: Sau khi bạn chạy phân tích để xác định xem trình duyệt có phải là bot hay không, PST có thể giúp mã hóa thông tin đó để chia sẻ từ ngữ cảnh này sang ngữ cảnh khác.
  • Thanh toán an toàn: Để phát hiện các mối đe doạ khó xác định hơn trong bối cảnh bên thứ ba và chỉ có một số ít thông tin (như thẻ), PST có thể được dùng làm tín hiệu bổ sung để truyền tải sự tin cậy.
  • Dịch vụ chống hành vi sai trái trong thương mại điện tử: Việc phát hiện bot trong các lượt tương tác thương mại điện tử (lượt nhấp, trang thanh toán, lượt mua hàng, điểm xếp hạng sản phẩm, bot trò chuyện, lượt trả lại hàng) là rất quan trọng để tránh việc cóp nhặt từ trang và các hoạt động tương tác không do con người thực hiện. Đây có thể là một tín hiệu quan trọng bổ sung để phát hiện tác nhân tự động cho nhà cung cấp dịch vụ chống gian lận bên thứ ba trong các nền tảng thương mại điện tử.
  • Dịch vụ CDN: PST cung cấp một cơ chế hỗ trợ báo cáo và phát hiện lưu lượng truy cập gian lận.

Danh sách các trường hợp sử dụng này không phải là danh sách đầy đủ mọi chức năng chống gian lận có thể hưởng lợi từ Mã thông báo trạng thái riêng tư. Danh sách này cũng không loại trừ lẫn nhau, PST có thể mang lại lợi ích cho nhiều quy trình chống gian lận.

Hành trình của người dùng

Phát hành và sử dụng là các thành phần chính của Mã thông báo trạng thái riêng tư. Mặc dù các trường hợp sử dụng trước đây là những lĩnh vực chính hỗ trợ PST, nhưng bạn có thể cân nhắc những thời điểm sau đây trong một số hành trình của người dùng vì những trường hợp mà bạn thực sự muốn phát hành hoặc sử dụng mã thông báo:

  • Phát hành mã thông báo trong Luồng quản lý tài khoản (Đăng nhập, Đăng ký, Đặt lại mật khẩu, v.v.)
  • Cấp mã thông báo sau khi xác nhận phương thức xác thực đa yếu tố (MFA)
  • Phát hành mã thông báo sau các hành động có rủi ro cao như xoá nhật ký thanh toán
  • Dùng mã thông báo để xác nhận trên nhiều trang web trước khi tiến hành xử lý rủi ro ở mức trung bình
  • Sử dụng mã thông báo để xác nhận trên nhiều trang web trước khi thực hiện những hành động có rủi ro cao

Thu hút và chia sẻ ý kiến phản hồi

Tìm hiểu thêm