Interpréter l'évaluation

Cette page explique comment envoyer le jeton à l'API reCAPTCHA Enterprise une fois que celui-ci est reçu par votre backend. Pour en savoir plus sur reCAPTCHA Enterprise, consultez la présentation de reCAPTCHA Enterprise.

L'API reCAPTCHA Enterprise renvoie un score pour chaque requête sans friction pour l'utilisateur. Ce score se base sur les interactions avec votre site et vous permet de prendre les mesures appropriées pour celui-ci.

Avant de commencer

Effectuez les étapes du guide de démarrage rapide pour accéder à l'API, puis mettez en œuvre vos pages Web.

Appeler l'API pour extraire le score et les motifs

Une fois le jeton reçu par votre backend, vous pouvez l'envoyer à l'API reCAPTCHA Enterprise. Pour en savoir plus, consultez la page Créer une évaluation.

Voici un exemple d'évaluation terminée :

{
  'tokenProperties': {
    'valid': True,
    'hostname': 'www.google.com',
    'action': 'homepage',
    'createTime': u'2019-03-28T12:24:17.894Z'
   },
  'riskAnalysis': {
    'score': 0.1,
    'reasons': ['AUTOMATION']
  },
  'event': {
    'token': 'RESPONSE_TOKEN',
    'siteKey': 'SITE_KEY'
   },
  'name': u'projects/[PROJECT_NUMBER]/assessments/b6ac310000000000'
}

Interpréter les résultats

reCAPTCHA Enterprise attribue un score (1,0 correspond à une interaction vraisemblablement légitime, alors que 0,0 correspond très probablement à un bot). En fonction de ce score, vous pouvez prendre les mesures appropriées dans le contexte de votre site. Chaque site est différent, mais vous trouverez ci-dessous quelques exemples d'utilisation du score.

Comme dans les exemples ci-dessous, intervenez en arrière-plan plutôt que de bloquer le trafic afin de mieux protéger votre site.

Cas d'utilisation Recommandation
Page d'accueil Affichez une vue cohérente de votre trafic sur la console d'administration lors du filtrage des scrapers.
Connexion Dans le cas d'un score faible, l'authentification à deux facteurs ou la validation de l'adresse e-mail est requise pour empêcher les attaques de type « credential stuffing ».
Réseaux sociaux Limitez les demandes d'amis sans réponse des utilisateurs mal intentionnés et envoyez les commentaires risqués à la modération.
E-commerce Faites passer vos ventes réelles avant les bots et identifiez les transactions risquées.

reCAPTCHA Enterprise s'améliore en observant le trafic réel sur votre site. Pour cette raison, les scores obtenus dans un environnement de préproduction ou peu de temps après la mise en œuvre peuvent différer de ceux obtenus en production. Comme reCAPTCHA Enterprise n'interrompt jamais le flux d'utilisateurs, vous pouvez d'abord exécuter reCAPTCHA sans prendre de mesures, puis décider des seuils en examinant votre trafic. Par défaut, vous pouvez utiliser un seuil de 0,5.

Ajuster les résultats

Pour ajuster le modèle spécifique à votre site, vous pouvez renvoyer à Google les ID reCAPTCHA identifiés comme de faux positifs ou de faux négatifs. Pour en savoir plus, consultez la page Annoter une évaluation.

Codes de motifs

Certains codes peuvent être renvoyés avec des codes de motifs associés. Ces codes fournissent des informations supplémentaires sur la raison pour laquelle reCAPTCHA Enterprise a interprété l'interaction de cette manière.

Code du motif Description
AUTOMATION L'interaction correspond au comportement d'un agent automatisé.
UNEXPECTED_ENVIRONMENT L'événement provient d'un environnement illégitime.
TOO_MUCH_TRAFFIC Le volume de trafic provenant de la source d'événements est supérieur à la normale.
UNEXPECTED_USAGE_PATTERNS L'interaction avec votre site s'est montrée très différente des modèles attendus.
LOW_CONFIDENCE_SCORE Jusqu'à présent, trop peu de trafic a été reçu de ce site pour générer une analyse des risques de qualité.