reCAPTCHA Enterprise 概览

十多年来,Google 已使用 reCAPTCHA 为数以百万计的网站提供安全防护。reCAPTCHA Enterprise 基于现有的 reCAPTCHA API 构建而成,它使用高级风险分析技术来区分人类和机器人。借助 reCAPTCHA Enterprise,您可以保护您的网站或移动应用免受垃圾内容和滥用行为的侵扰,并检测网站上其他类型的欺诈活动,例如凭据填充、帐号盗用 (ATO) 和自动帐号创建。reCAPTCHA Enterprise 提供增强的检测功能,可提供更精细的分数、针对风险事件的原因代码、移动应用 SDK、密码泄露/泄露检测、针对企业特定模型的多重身份验证 (MFA),以及企业特定模型所需的多重身份验证 (MFA)。

何时使用 reCAPTCHA Enterprise

如果您希望保护网站或移动应用免受机器人的攻击,以及通过自动攻击或人为实施的滥用和欺诈行为,reCAPTCHA Enterprise 非常有用。

如需详细了解用例,请参阅 OWASP 自动威胁手册 - Web 应用

reCAPTCHA Enterprise 的工作原理

在客户的环境中部署 reCAPTCHA Enterprise 后,它会与客户后端和客户的客户端(网页或移动应用)进行交互。

当最终用户访问网页或使用移动应用时,系统会按顺序触发以下事件:

  1. 客户端从客户后端加载网页或启动移动应用。
  2. 当最终用户触发受 reCAPTCHA Enterprise 保护的操作(例如登录)时,reCAPTCHA Enterprise JavaScript API 或客户端中的移动 SDK 会收集信号并将其发送给 reCAPTCHA Enterprise 以供分析。
  3. reCAPTCHA Enterprise 会将加密的 reCAPTCHA 令牌返回给客户端以供日后使用。
  4. 客户端将加密的 reCAPTCHA 令牌发送到客户后端进行评估。
  5. 客户后端将创建评估 (assessments.create) 请求和加密的 reCAPTCHA 令牌发送到 reCAPTCHA Enterprise。
  6. 完成评估后,reCAPTCHA Enterprise 会根据针对此请求评估的风险向客户后端返回判定结果(从 0.0 到 1.0 的分数以及原因代码)。
  7. 根据判定结果,您(作为开发者)可以确定针对特定用户请求或操作采取的后续步骤。

以下序列图显示了 reCAPTCHA Enterprise 工作流的图形表示:

后续步骤