**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 中的代币标签类型 AWS WAF 本节介绍令 AWS WAF 牌管理向 Web 请求添加的标签。有关标签的一般信息,请参阅 [在 Web 请求中添加标签 AWS WAF](waf-labels.md)。 当您使用任何 AWS WAF 机器人或欺诈控制托管规则组时,规则组使用 AWS WAF 令牌管理来检查 Web 请求令牌并对请求应用令牌标签。有关托管规则组的信息,请参阅 [AWS WAF 欺诈控制账户创建防作弊 (ACFP) 规则组](aws-managed-rule-groups-acfp.md)、[AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md) 和 [AWS WAF 机器人控制规则组](aws-managed-rule-groups-bot.md)。 **注意** AWS WAF 仅当您使用这些智能威胁缓解托管规则组之一时,才会应用令牌标签。 令牌管理可以将以下标签添加到 web 请求中。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** AWS WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** AWS WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— AWS WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。