Funktionen für die Integration mit WAF-Dienstanbietern

In diesem Dokument werden die Features von reCAPTCHA for WAF erläutert. und ermitteln, welche Funktion am besten zu Ihrem Anwendungsfall passt.

reCAPTCHA for WAF bietet die folgenden Funktionen, die Sie für die Integration mit WAF-Anbietern (Web Application Firewall) verwenden können:

• reCAPTCHA-Aktionstokens
• reCAPTCHA-Sitzungstokens
• reCAPTCHA-Abfrageseite
• reCAPTCHA Express

Übersicht über die Funktionen

Die folgende Tabelle zeigt einen kurzen Vergleich zwischen reCAPTCHA-Aktionstoken, reCAPTCHA-Sitzungstokens reCAPTCHA-Abfrageseite und reCAPTCHA Express:

Vergleichskategorie	reCAPTCHA-Aktionstokens	reCAPTCHA-Sitzungstoken	reCAPTCHA-Abfrageseite	reCAPTCHA Express
Anwendungsfall	Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldungen oder Kommentare zu schützen.	Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen.	Verwenden Sie die reCAPTCHA-Abfrageseite, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet wurden und von Ihnen stammen. Bots herauszufiltern. Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.	reCAPTCHA Express verwenden, wenn Ihre Umgebung die Integration nicht unterstützt des reCAPTCHA-JavaScript-Codes oder der mobilen SDKs.
Unterstützte Plattformen	Websites und mobile Apps	Websites	Websites	APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen
Integrationsaufwand	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie den reCAPTCHA-JavaScript-Code auf den einzelnen Seiten Ihrer oder das reCAPTCHA Mobile SDK in Ihrer mobilen App installieren. Hängen Sie das Aktionstoken an den einzelnen Anfrageheader an. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.	Niedrig Für die Integration müssen Sie Regeln für Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern konfigurieren.	Niedrig Für die Einbindung müssen Sie entweder reCAPTCHA Express mit einem WAF-Anbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA senden.
Erkennungsgenauigkeit	Highest Ein Aktionstoken schützt einzelne Nutzeraktionen.	Hoch Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website.	Mittel Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau.	Niedrig Clientseitige Signale sind nicht verfügbar.
Unterstützte reCAPTCHA-Version	Wertbasierte reCAPTCHA- und Kästchenschlüssel	Wertbasierte reCAPTCHA-Schlüssel	Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren.	Punktebasierte reCAPTCHA-Schlüssel

Sie können eine oder mehrere reCAPTCHA for WAF-Funktionen in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.

reCAPTCHA-Aktionstokens

Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzer zu schützen Interaktionen, z. B. Bezahlvorgang auf Webseiten und in mobilen Apps.

Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:

1. Wenn ein Endnutzer eine Aktion auslöst, die durch mit reCAPTCHA, sendet die Webseite oder die mobile App Signale, die im Browser erfasst werden, zur Analyse an reCAPTCHA.
2. reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
3. Dieses Aktionstoken hängen Sie an den Header der Anforderung an, zu schützen.
4. Wenn der Endnutzer den Zugriff mit dem Aktionstoken anfordert, decodiert und validiert der WAF-Dienstanbieter die Aktionstoken-Attribute anstelle Ihrer Backend-Anwendung.
5. Der WAF-Anbieter wendet Aktionen anhand Ihrer konfigurierten Sicherheitsrichtlinienregeln oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.

Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Aktionstokens auf Websites:

Das folgende Sequenzdiagramm zeigt die reCAPTCHA-Aktionstokens Workflow für mobile Apps:

reCAPTCHA-Sitzungstoken

Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie der gesamten Nutzersitzung auf der Domain der Website. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen mehr erforderlich sind. Reibungspunkte und die insgesamt erforderlichen reCAPTCHA-Aufrufe.

Damit reCAPTCHA das Browsermuster Ihrer Endnutzer besser kennenlernen kann, empfehlen wir die Verwendung eines reCAPTCHA-Sitzungstokens auf allen Webseiten Ihrer Website.

Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:

1. Der Browser lädt das reCAPTCHA-JavaScript aus reCAPTCHA.
2. Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers ab.
3. Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA-JavaScript aktiv ist, alle 30 Minuten aktualisiert.
4. Wenn der Nutzer mit dem Cookie Zugriff anfordert, validiert der WAF-Dienstanbieter dieses Cookie und wendet Aktionen an, die auf den Regeln der Sicherheitsrichtlinien oder Firewallrichtlinien-Regeln.

Das folgende Sequenzdiagramm zeigt die reCAPTCHA-Sitzungstokens Workflow:

reCAPTCHA-Abfrageseite

Sie können die reCAPTCHA-Abfrageseite zur Weiterleitung verwenden an reCAPTCHA weiterleiten, um zu ermitteln, Anfrage potenziell betrügerisch oder legitim ist.

Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.

Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal aufruft, finden folgende Ereignisse statt:

1. Auf der WAF-Ebene wird die Anfrage des Nutzers an reCAPTCHA weitergeleitet Seite der Herausforderungen.
2. reCAPTCHA antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
3. Wenn die Abrufseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf können Sie reCAPTCHA sendet dem Nutzer eine CAPTCHA-Abfrage.

4. Je nach Ergebnis der Bewertung wird reCAPTCHA führt Folgendes aus:

   1. Wenn die Nutzerinteraktion die Prüfung besteht, wird reCAPTCHA gibt ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
   2. Wenn die Nutzerinteraktion die Prüfung nicht besteht, wird reCAPTCHA gibt kein Ausnahme-Cookie aus.

5. reCAPTCHA lädt die Webseite mit dem Ausnahmecookie neu, wenn Der Nutzer greift über einen GET/HEAD-Aufruf auf die Webseite zu. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.

6. Der WAF-Dienstanbieter nimmt Anfragen mit einem gültigen Ausnahmecookie aus nicht erneut weitergeleitet werden und Zugriff auf Ihre Website gewähren.

Das folgende Sequenzdiagramm zeigt die reCAPTCHA-Abfrageseite Workflow:

reCAPTCHA Express für WAF

Mit reCAPTCHA Express können Sie Ihre Anwendungen in einer Umgebung schützen, reCAPTCHA-JavaScript oder integrierte mobile SDKs ausführen, z. B. IoT-Geräte und Set-Top-Boxen Sie können reCAPTCHA Express auf der WAF-Ebene mit einem WAF-Dienstanbieter oder in einer eigenständigen Umgebung auf einem Anwendungsserver einrichten. reCAPTCHA Express verwendet nur Backend-Signale, um einen reCAPTCHA-Risikowert zu generieren.

Der Express-Workflow für reCAPTCHA WAF umfasst die folgenden Schritte:

1. Wenn ein Nutzer Zugriff auf eine Webseite anfordert, fordert der WAF-Dienstanbieter erstellt eine Bewertungsanfrage an reCAPTCHA.
2. reCAPTCHA bewertet die Nutzerinteraktion und sendet einen Risiko-Score.
3. Je nach Risikobewertung kann der WAF-Dienstanbieter oder der den Zugriff erlaubt oder blockiert.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA WAF Express Workflow:

Nächste Schritte

• Weitere Informationen zu Tokenattributen für Google Cloud Armor
• reCAPTCHA für WAF einbinden mit Google Cloud Armor auf Websites.
• reCAPTCHA für WAF einbinden mit Google Cloud Armor in mobilen Anwendungen
• Weitere Informationen zu den Tokenattributen für Fastly
• reCAPTCHA für WAF in Fastly einbinden.
• reCAPTCHA Express auf Anwendungsservern einrichten