借助 reCAPTCHA 密钥(也称为“密钥”),您可以通过验证网页和移动应用上的用户互动情况来保护端点。
如需选择适当的 reCAPTCHA 密钥类型,您必须了解每个平台支持的密钥类型及其差异。
reCAPTCHA 密钥的类型
下表列出了各平台支持的 reCAPTCHA 密钥:
reCAPTCHA 密钥类型 | 说明 | 支持的键 | 密钥集成类型 |
---|---|---|---|
适用于 Web 的 reCAPTCHA 密钥 | 用于在网页上集成 reCAPTCHA 的密钥。 | 基于得分的键 | SCORE |
复选框键 | CHECKBOX |
||
适用于移动应用的 reCAPTCHA 密钥 | 用于在 Android 和 iOS 应用中集成 reCAPTCHA 的密钥。 | 适用于 Android 的 reCAPTCHA 密钥 | SCORE |
适用于 iOS 的 reCAPTCHA 密钥 | SCORE |
||
适用于 WAF 的 reCAPTCHA 密钥 | 用于在 WAF 层集成 reCAPTCHA 的密钥。 | 操作令牌密钥 | SCORE 和 CHECKBOX |
会话令牌密钥 | SCORE |
||
挑战页密钥 | INVISIBLE |
||
Express Key | SCORE |
选择适用于网站的 reCAPTCHA 密钥类型
对于网站,reCAPTCHA 提供基于得分(无验证)和复选框(复选框视觉验证)的密钥来验证用户互动情况。这两种键类型都会为每个请求返回一个得分(基于用户与您的网站的互动情况)。此得分可让您了解互动带来的风险级别,并帮助您针对自己的网站采取适当的措施。
下表总结了基于得分的键与多选键之间的区别,并可帮助您根据您的用例选择合适的键:
比较类别 | 基于得分的键(推荐) | 复选框键 |
---|---|---|
说明 | 通过基于得分的密钥,您可以在没有任何用户互动的情况下验证互动是否合法。 | 复选框键使用复选框质询,要求用户互动以验证用户不是机器人。此外,您还可以使用复选框键通过人机识别系统验证来保护特定操作。 |
工作原理 | 使用基于得分的密钥时,reCAPTCHA Enterprise API 会返回一个得分,您可以根据该得分在网站的情境中采取相应措施。 您可能会执行的操作示例包括要求其他身份验证因素、发送帖子以进行审核或限制可能正在抓取内容的聊天机器人。 |
复选框键会呈现我不是机器人复选框,用户必须点击该复选框才能验证自己不是机器人。此复选框键不一定会要求他们通过人机识别系统验证。 在这两种情况下,reCAPTCHA Enterprise API 都会返回得分。 人机识别系统验证要求用户从一组图像中选择某些种类的对象,例如路牌。 以下动画 GIF 是复选框键的示例: 下图显示了一个示例人机识别系统验证: 在使用人机识别系统挑战之前,您必须了解人机识别系统挑战注意事项。 |
支持的平台 | 网站和移动平台。 | 仅限网站。 |
使用场景 |
基于得分的键适用于以下用例:
|
复选框键适用于网页上的表单、登录和注册。虽然这可能会给用户造成额外的负面影响,但额外的步骤(例如人机识别系统挑战)有助于防范不道德的攻击者。 |
有关人机识别系统验证的注意事项
如果要将复选框密钥用于人机识别系统验证,以防范自动攻击,请注意以下事项:
- 人机识别系统需要用户互动,这会增加负面影响,并且可能会降低转化率。
- 由于计算机视觉和机器智能的发展,人机识别系统在区分人与机器人之间的作用越来越小。
- 人机识别系统还受到付费攻击者的威胁,这些攻击者能够解决所有类型的挑战。
- 并非所有用户都能使用人机识别系统,因此,如果您的网站有无障碍功能要求,就可能不适合使用人机识别系统。
为 WAF 选择 reCAPTCHA 密钥类型
下表简要说明了 reCAPTCHA 操作令牌、reCAPTCHA 会话令牌、reCAPTCHA 验证页面和 reCAPTCHA WAF express protection:
比较类别 | reCAPTCHA 操作令牌 | reCAPTCHA 会话令牌 | reCAPTCHA 质询页面 | reCAPTCHA WAF express protection |
---|---|---|---|---|
应用场景 | 使用 reCAPTCHA 操作令牌来保护用户操作,例如登录或评论帖子。 | 使用 reCAPTCHA 会话令牌保护网站网域上的整个用户会话。 | 如果您怀疑有垃圾内容活动定向到您的网站,并且需要过滤掉漫游器,请使用 reCAPTCHA 验证页面。 此方法会中断用户的活动,因为用户必须验证人机识别系统质询。 |
如果您的环境不支持集成 reCAPTCHA JavaScript 或移动 SDK,请使用 reCAPTCHA WAF express protection。 |
支持的平台 | 网站和移动应用 | 网站 | 网站 | API、网站、移动应用以及电视和游戏机等 IoT 设备 |
集成工作量 | 中
集成时,您需要执行以下操作:
|
中
集成时,您需要执行以下操作:
|
低
集成后,您需要为 Google Cloud Armor 配置安全政策规则,或为第三方 WAF 服务提供商配置 reCAPTCHA 防火墙政策。 |
低
集成时,您需要使用 WAF 服务提供商配置 reCAPTCHA WAF express protection,或者从应用服务器向 reCAPTCHA 发出请求。 |
检测准确率 | 最高
操作令牌可保护各项用户操作。 |
高
会话令牌保护网站网域上的整个用户会话。 |
中
该过程涉及重定向到 reCAPTCHA 验证页面,该页面可能不会接收所有页面专用信号。因此,机器人检测可能会不太准确。 |
低
客户端信号不可用。 |
支持的 reCAPTCHA 版本 | reCAPTCHA 基于得分的键和复选框键 | 基于 reCAPTCHA 分数的密钥 | reCAPTCHA 验证页面使用经过优化的 reCAPTCHA 版本来最大限度地减少集成。 | 基于 reCAPTCHA 分数的密钥 |
您可以在单个应用中使用 reCAPTCHA for WAF 的一项或多项功能。例如,您可以选择为所有页面应用会话令牌,并根据会话令牌的得分将可疑请求重定向到 reCAPTCHA 验证页面。此外,您还可以使用操作令牌执行重要操作,例如结账。如需了解详情,请参阅示例。