Google 十多年来一直在使用 reCAPTCHA 为数百万个网站提供安全保障。reCAPTCHA 使用先进的风险分析技术来检测欺诈行为。借助 reCAPTCHA,您可以保护网站或移动应用免受垃圾内容和滥用行为的侵扰,并检测其他类型的欺诈活动,例如凭据填充、帐号盗用 (ATO) 和自动帐号创建。reCAPTCHA 提供增强的检测功能,包括更精细的分数、有风险事件的原因代码、移动应用 SDK、密码泄露或泄露检测、多重身份验证 (MFA),以及针对企业调整网站业务的模型。
reCAPTCHA 层级
reCAPTCHA 提供三种基于用量的层级:Enterprise、Standard 和 Essentials。
如需了解这些层级中提供的功能,请参阅比较 reCAPTCHA 层级的功能。
reCAPTCHA 的工作原理
在您的环境中部署 reCAPTCHA 后,它会与您的后端和客户端(网页或移动应用)进行交互。
当最终用户访问网页或使用移动应用时,系统会按顺序触发以下事件:
- 客户端从后端加载网页或启动移动应用。
- 网页或移动应用初始化 reCAPTCHA JavaScript API 或移动 SDK,后者开始收集信号。
- 当最终用户触发受 reCAPTCHA 保护的操作(例如登录)时,客户端中的 reCAPTCHA JavaScript API 或移动 SDK 会向 reCAPTCHA 请求判定结果。
- reCAPTCHA 会向客户端返回经过加密的 reCAPTCHA 令牌以备日后使用。
- 客户端将加密的 reCAPTCHA 令牌发送到后端进行评估。
- 后端将创建评估 (
assessments.create
) 请求和加密的 reCAPTCHA 令牌发送到 reCAPTCHA。 - 评估后,reCAPTCHA 会根据针对此请求评估的风险的判定结果(得分在 0.0 到 1.0 之间,以及原因代码)返回到后端。
- 根据判定结果,您(作为开发者)可以针对该特定用户请求或操作确定后续步骤。
以下序列图显示了 reCAPTCHA 工作流的图形表示: