解读针对移动应用的评估

本页介绍了如何解读得分，以了解用户互动带来的风险级别，并针对您的移动应用采取适当措施。

reCAPTCHA 会根据与移动应用的互动，为每个请求返回一个得分。获得 reCAPTCHA 提供的得分后，您必须解读该得分并针对您的移动应用采取适当措施。

准备工作

为移动应用创建评估。

解读评估

在您的后端将用户的 reCAPTCHA 响应令牌提交到 reCAPTCHA 后，您会收到 JSON 响应形式的评估，如以下示例所示。

如需解读评估，请考虑以下参数：

• valid：指明提供的用户响应令牌是否有效。如果值为 valid = false，则原因在 invalidReason 中指定。valid = false 也表示用户未通过验证或 sitekey 不匹配。
• invalidReason：与 valid = false 时的响应相关联的原因。
• action：触发 reCAPTCHA 验证的用户互动。
• expectedAction：您在创建评估时指定的用户期望的操作。
• score：用户互动产生的风险等级。

• reasons：有关 reCAPTCHA 如何解读用户互动的其他信息。

  原因代码在安全审核后可用。如需申请访问原因代码，请与我们的销售团队联系。

  {
   "event":{
      "expectedAction":"EXPECTED_ACTION",
      "hashedAccountId":"ACCOUNT_ID",
      "siteKey":"KEY_ID",
      "token":"TOKEN",
      "userAgent":"(USER-PROVIDED STRING)",
      "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
   },
   "name":"ASSESSMENT_ID",
   "riskAnalysis":{
     "reasons":[],
     "score":"SCORE"
   },
   "tokenProperties":{
     "action":"USER_INTERACTION",
     "createTime":"TIMESTAMP",
     "hostname":"HOSTNAME",
     "invalidReason":"(ENUM)",
     "valid":(BOOLEAN)
   }
  }
  

验证操作

JSON 响应包含您在调用 execute() 时为用户互动指定的 action 参数以及您在创建评估时指定的 expectedAction 参数。

验证 action 与 expectedAction 是否匹配。例如，系统应该在您的登录页面上返回 login 操作。如果存在不匹配，则表示攻击者正在尝试伪造操作。您可以对用户互动采取措施，例如添加其他验证手段或阻止互动以防发生任何欺诈活动。

解释得分

reCAPTCHA 的评分系统是对之前 reCAPTCHA 版本的扩展，可让回答更精细。reCAPTCHA 提供 11 个评分等级，分数范围为 0.0 到 1.0。1.0 分表示互动风险低，很可能是合法的，0.0 表示互动风险高，可能具有欺诈性。在 11 个级别中，默认只有以下四个得分级别：0.1、0.3、0.7 和 0.9。

如需申请访问 11 个得分级别，请与我们的销售团队联系。

reCAPTCHA 通过监控移动应用中的真实流量来进行学习。 因此，预演环境和 7 天内实现的得分可能与长期生产环境的得分不同。

由于适用于移动应用的 reCAPTCHA 密钥不会干扰用户体验流程，因此您可以先运行 reCAPTCHA 而不执行任何操作，然后通过查看流量来确定阈值。

根据该得分，您可以在移动应用环境中执行适当的操作。为了更好地保护您的移动应用，我们建议您在后台执行操作，而不是阻止流量。

下表列出了您可以执行的一些操作：

应用场景	操作
登录	如果得分较低，则需要使用 MFA 或电子邮件验证，以防范凭据填充攻击。
social	限制来自滥用用户的尚未回应的好友请求；发送有风险的评论以进行审核。
ecommerce	避免漫游器接触到您的真实销售交易，并识别有风险的交易。

原因代码

原因代码在安全审核后可用。如需请求访问原因代码，请与我们的销售团队联系。

一些得分可能会与原因代码一起返回，原因代码提供有关 reCAPTCHA 如何解读互动的更多信息。

下表列出了原因代码及其说明：

原因代码	说明
AUTOMATION	互动与自动代理的行为相匹配。
UNEXPECTED_ENVIRONMENT	该事件由非法环境引发。
TOO_MUCH_TRAFFIC	来自事件源的数据流量高于正常水平。
UNEXPECTED_USAGE_PATTERNS	与您的网站的互动与预期模式存在着很大差异。
LOW_CONFIDENCE_SCORE	来自此网站的流量过少，无法生成质量风险分析。

后续步骤

• 要微调您的网站专属模型，您可以将评估 ID 发送回 Google 以确认真正例和真负例，或更正错误。如需了解详情，请参阅为评估添加注解。