借助 reCAPTCHA 密钥(也称为“密钥”),您可以通过验证网页和移动应用上的用户互动来保护端点。
如需选择适当的 reCAPTCHA 密钥类型,您必须了解每个平台支持的密钥类型及其差异。
reCAPTCHA 密钥的类型
下表列出了各平台支持的 reCAPTCHA 密钥:
| reCAPTCHA 密钥类型 | 说明 | 支持的键 | 密钥集成类型 |
|---|---|---|---|
| 适用于 Web 的 reCAPTCHA 密钥 | 用于在网页上集成 reCAPTCHA Enterprise 的密钥。 | 基于得分的键 | SCORE |
| 复选框键 | CHECKBOX |
||
| 适用于移动应用的 reCAPTCHA 密钥 | 用于在 Android 和 iOS 应用中集成 reCAPTCHA Enterprise 的密钥。 | 适用于 Android 的 reCAPTCHA 密钥 | SCORE |
| 适用于 iOS 的 reCAPTCHA 密钥 | SCORE |
||
| 适用于 WAF 的 reCAPTCHA 密钥 | 用于在 WAF 层集成 reCAPTCHA Enterprise 的密钥。 | 操作令牌密钥 | SCORE 和 CHECKBOX |
| 会话令牌密钥 | SCORE |
||
| 挑战页密钥 | INVISIBLE |
||
| Express 键 | SCORE |
选择适用于 Web 的 reCAPTCHA 密钥类型
对于网站,reCAPTCHA Enterprise 提供基于评分(无验证)和复选框(复选框视觉验证)的密钥来验证用户互动情况。这两种密钥类型都会为每个请求返回一个得分,该得分基于用户与您网站的互动。通过此评分,您可以了解互动带来的风险级别,并帮助您针对自己的网站采取适当的措施。
下表总结了基于得分的键与复选框键之间的区别,并可帮助您根据用例选择合适的键:
| 比较类别 | 基于得分的键(推荐) | 复选框键 |
|---|---|---|
| 说明 | 通过基于得分的密钥,您可以在没有任何用户互动的情况下验证互动是否合法。 | 复选框键使用复选框验证,要求用户进行互动以验证用户不是机器人。此外,您还可以使用复选框键通过人机识别系统验证来保护特定操作。 |
| 运作方式 | 借助基于得分的密钥,reCAPTCHA Enterprise API 会返回一个得分,您可以使用该得分针对网站执行操作。 您可能会执行的操作示例包括要求其他身份验证因素、发送帖子以进行审核或限制可能正在抓取内容的聊天机器人。 |
复选框键会呈现我不是机器人复选框,用户必须点击该复选框才能验证自己不是机器人。此复选框键不一定通过人机识别系统验证方式来验证身份。 在这两种情况下,reCAPTCHA Enterprise API 都会返回得分。 人机识别系统验证要求用户从一组图像中选择某些种类的对象,例如路牌。 以下动画 GIF 是复选框键的示例: 下图展示了一个人机识别系统验证示例: 在使用人机识别系统挑战之前,您必须了解人机识别系统挑战注意事项。 |
| 支持的平台 | 网站和移动平台。 | 仅限网站。 |
| 使用场景 |
基于得分的键适用于以下用例:
|
复选框键适用于网页上的表单、登录和注册。虽然这可能会给用户造成额外的负面影响,但额外的步骤(例如人机识别系统挑战)有助于防范不道德的攻击者。 |
与人机识别系统验证相关的注意事项
如果您希望将复选框密钥与人机识别系统验证结合使用来防范自动攻击,请注意以下事项:
- 人机识别系统需要用户互动,这会增加负面影响,并且可能会降低转化率。
- 由于计算机视觉和机器智能的发展,人机识别系统在区分人与机器人之间的作用越来越小。
- 人机识别系统还受到付费攻击者的威胁,这些攻击者能够解决所有类型的挑战。
- 并非所有用户都能使用人机识别系统,因此,如果您的网站有无障碍功能要求,就可能不适合使用人机识别系统。
选择用于 WAF 的 reCAPTCHA 密钥类型
下表显示了 reCAPTCHA 操作令牌、reCAPTCHA 会话令牌、reCAPTCHA 验证页面和 reCAPTCHA WAF express protection 的简要比较:
| 比较类别 | reCAPTCHA 操作令牌 | reCAPTCHA 会话令牌 | reCAPTCHA 质询页面 | reCAPTCHA WAF express protection |
|---|---|---|---|---|
| 使用场景 | 使用 reCAPTCHA 操作令牌来保护用户操作,例如登录或评论帖子。 | 使用 reCAPTCHA 会话令牌保护网站网域上的整个用户会话。 | 如果您怀疑有人向您的网站提供了垃圾内容活动,并且需要过滤掉漫游器,请使用 reCAPTCHA 验证页面。
此方法会中断用户的活动,因为用户必须验证人机识别系统质询。 |
如果您的环境不支持集成 reCAPTCHA JavaScript 或移动 SDK,请使用 reCAPTCHA WAF express protection 功能。 |
| 支持的平台 | 网站和移动应用 | 网站 | 网站 | API、网站、移动应用以及电视和游戏机等 IoT 设备 |
| 集成工作量 | 中
集成时,您需要执行以下操作:
|
中
集成时,您需要执行以下操作:
|
低
集成要求您为 Google Cloud Armor 配置安全政策规则,或为第三方 WAF 服务提供商配置 reCAPTCHA 防火墙政策。 |
低
集成要求您通过 WAF 服务提供商配置 reCAPTCHA WAF express protection,或者从您的应用服务器向 reCAPTCHA Enterprise 发出请求。 |
| 检测准确率 | 最高
操作令牌可保护各项用户操作。 |
高
会话令牌保护网站网域上的整个用户会话。 |
中
该过程涉及重定向到 reCAPTCHA 验证页面,该页面可能不会接收所有页面专用信号。因此,机器人检测可能会不太准确。 |
低
客户端信号不可用。 |
| 支持的 reCAPTCHA 版本 | reCAPTCHA Enterprise 基于得分的键和复选框键 | reCAPTCHA Enterprise 基于得分的密钥 | reCAPTCHA 验证页面使用经过优化的 reCAPTCHA 版本来最大限度地减少集成。 | reCAPTCHA Enterprise 基于得分的密钥 |
您可以在一个应用中使用 reCAPTCHA Enterprise for WAF 的一项或多项功能。例如,您可以选择为所有页面应用会话令牌,并根据会话令牌的得分将可疑请求重定向到 reCAPTCHA 验证页面。此外,您还可以使用操作令牌执行重要操作,例如结账。如需了解详情,请参阅示例。