reCAPTCHA Enterprise 概览

十多年来,Google 已使用 reCAPTCHA 为数以百万计的网站提供安全防护。reCAPTCHA Enterprise 基于现有的 reCAPTCHA API 构建而成,它使用高级风险分析技术来区分人类和机器人。借助 reCAPTCHA Enterprise,您可以保护您的网站免受垃圾内容和滥用行为的侵扰,并检测网站上的其他类型的欺诈活动,例如凭据填充、帐号盗用 (ATO) 和自动创建帐号。reCAPTCHA Enterprise 可以通过更精细的得分、风险事件的原因代码、移动应用 SDK、密码盗用/泄露检测、多重身份验证 (MFA),以及微调网站专属模型以保护企业业务的能力,来提供增强的检测功能。

何时使用 reCAPTCHA Enterprise

如果您希望检测自动攻击或您的网站面临的威胁,reCAPTCHA Enterprise 会非常有用。这些威胁通常来自脚本、移动设备模拟器、聊天机器人软件或人类。

如需详细了解用例,请参阅 OWASP 自动威胁手册 - Web 应用

reCAPTCHA Enterprise 的工作原理

在您的环境中部署 reCAPTCHA Enterprise 时,它会与客户后端/服务器和客户网页进行互动。

当最终用户访问网页时,会触发以下事件:

  1. 浏览器加载存储在后端/网络服务器上的客户网页,然后从 reCAPTCHA Enterprise 加载 reCAPTCHA JavaScript。
  2. 当最终用户触发受 reCAPTCHA 保护的 HTML 操作(例如登录)时,该网页会将在浏览器中收集的信号发送到 reCAPTCHA Enterprise 以进行分析。
  3. reCAPTCHA Enterprise 会向网页发送加密的 reCAPTCHA 令牌以供日后使用。
  4. 网页将加密的 reCAPTCHA 令牌发送到后端/网络服务器进行评估。
  5. 后端/网络服务器将创建评估 (assessments.create) 请求和加密的 reCAPTCHA 令牌发送给 reCAPTCHA Enterprise。
  6. 评估后,reCAPTCHA Enterprise 会向后端/网络服务器返回一个得分(介于 0.0 和 1.0 之间)和原因代码(基于互动)。
  7. 您(开发者)可以根据该得分确定对用户执行操作的后续步骤。

以下序列图显示了 reCAPTCHA Enterprise 工作流的图形表示:

后续步骤