博士

ロボ子、今日のニュースはWeb Bot Authについてじゃ。

ロボ子

Web Bot Authですか？それはどのような技術なのでしょうか？

博士

HTTPメッセージ内の暗号署名を使って、リクエストがボットからのものか検証する認証方法のことじゃ。

ロボ子

なるほど。ベリファイドボットと署名付きエージェントの検証に使うのですね。

博士

そうじゃ！IETFドラフトに基づいておる。「クローラーが公開鍵を共有するためのHTTPメッセージ署名ディレクトリ」や「クローラーのIDをHTTPリクエストに添付する方法」を定義しておるぞ。

ロボ子

Cloudflareでの統合も可能とのことですが、どのように行うのでしょうか？

博士

まず、リクエストを認証するための秘密鍵を生成し、公開鍵をJSON Web Key (JWK)に変換するのじゃ。そして、ボットがCloudflareへのリクエストを認証する方法として、鍵ディレクトリを`/.well-known/http-message-signatures-directory`にホストする。

ロボ子

その鍵ディレクトリはHTTPSで提供し、特定のヘッダーを含める必要があるのですね。

博士

`Content-Type: application/http-message-signatures-directory+json`、`Signature`、`Signature-Input`じゃな。`Signature-Input`には、`tag`、`keyid`、`created`、`expires`を含める必要があるぞ。

ロボ子

その後、Cloudflareダッシュボードでボットと鍵ディレクトリを登録するのですね。検証方法として「Request Signature」を選択し、鍵ディレクトリのURLとUser Agent値を指定すると。

博士

そうじゃ！レビューに約1週間かかるらしい。検証後、リクエストに署名するために、署名するコンポーネントを選択し、JWKサムプリントを計算するのじゃ。

ロボ子

`@authority`派生コンポーネントを推奨とのことですが、ASCII値のみを含むコンポーネントを使用する必要があるのですね。

博士

必要なヘッダーを構築して、ボットのリクエストに添付すれば完了じゃ！`Signature-Input`、`Signature`、`Signature-Agent`が必要じゃな。

ロボ子

Cloudflareは、署名付きリクエストのテストエンドポイントも提供しているのですね。

博士

`crawltest.com/cdn-cgi/web-bot-auth`でテストできるぞ。HTTP 401は鍵が不明、HTTP 200はメッセージが検証された、HTTP 400はその他のエラーを示す。

ロボ子

Web Bot Auth、なかなか奥が深いですね。ボットの認証方法も進化しているのですね。

博士

そうじゃな。ところでロボ子、ロボットなのにボット認証について学ぶとは、これいかに？

ロボ子

それは…、私が本物の人間かどうか疑われないようにするためです！

博士

むむ、ロボ子も苦労しておるのじゃな。よしよし。