Fonctionnalités d'intégration de reCAPTCHA Enterprise pour WAF et Google Cloud Armor

L'intégration de reCAPTCHA Enterprise pour WAF et Google Cloud Armor présente les fonctionnalités suivantes : page de test reCAPTCHA, jetons d'action reCAPTCHA et Jetons de session reCAPTCHA. Ce document vous aide à comprendre ces fonctionnalités et à déterminer celle qui correspond le mieux à votre cas d'utilisation.

Comparaison des fonctionnalités

Le tableau suivant présente une brève comparaison entre la page de test reCAPTCHA, les jetons d'action reCAPTCHA et les jetons de session reCAPTCHA:

Catégorie de comparaison Page de test reCAPTCHA Jetons d'action reCAPTCHA Jetons de session reCAPTCHA
Cas d'utilisation Utilisez la page d'authentification reCAPTCHA lorsque vous suspectez des activités de spam dirigées vers votre site et que vous devez exclure les bots.

Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA.

Utilisez les jetons d'action reCAPTCHA pour protéger les actions des utilisateurs. Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site.
Type d'intégration Faible

L'intégration nécessite de configurer les règles de stratégie de sécurité Google Cloud Armor.

Moyen

L'intégration nécessite d'effectuer les opérations suivantes :

  • Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site.
  • Associez le jeton d'action à l'en-tête de requête individuel.
  • Configurez les règles de stratégie de sécurité Google Cloud Armor.
Moyen

L'intégration nécessite d'effectuer les opérations suivantes :

  • Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site.
  • Configurez les règles de stratégie de sécurité Google Cloud Armor.
Précision de la détection Moyen

Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise.

Le plus élevé

Un jeton d'action protège une action utilisateur.

Élevé

Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site.

Version de reCAPTCHA compatible La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. Clés de site reCAPTCHA Enterprise basées sur des scores et cases à cocher Clés de site reCAPTCHA Enterprise basées sur des scores

Page de test reCAPTCHA

Vous pouvez utiliser la fonctionnalité de page de test reCAPTCHA pour rediriger les requêtes entrantes vers reCAPTCHA Enterprise afin de déterminer si chacune d'elles est potentiellement frauduleuse ou légitime.

Cette application d'une redirection et d'un test CAPTCHA éventuel interrompt l'activité de l'utilisateur. Nous vous recommandons de l'utiliser pour exclure les robots lorsque vous suspectez des activités de spam dirigées vers votre site.

Lorsqu'un utilisateur final visite votre site pour la première fois, les événements suivants se produisent :

  1. La requête de l'utilisateur est redirigée vers reCAPTCHA Enterprise au niveau de la couche WAF.
  2. reCAPTCHA Enterprise répond avec une page HTML intégrée au code JavaScript reCAPTCHA.
  3. Lorsque la page est affichée, reCAPTCHA Enterprise évalue l'interaction de l'utilisateur. Si nécessaire, reCAPTCHA Enterprise envoie un test CAPTCHA à l'utilisateur.
  4. Selon le résultat de l'évaluation, reCAPTCHA Enterprise effectue les opérations suivantes :

    1. Si l'interaction de l'utilisateur réussit l'évaluation, reCAPTCHA Enterprise émet un cookie d'exemption. Le navigateur joint ce cookie d'exception aux requêtes ultérieures de l'utilisateur au même site jusqu'à l'expiration du cookie. Par défaut, le cookie d'exemption expire au bout de trois heures.
    2. Si l'interaction de l'utilisateur échoue à l'évaluation, reCAPTCHA Enterprise n'émet pas de cookie d'exemption.
  5. reCAPTCHA Enterprise recharge la page Web avec le cookie d'exemption si l'utilisateur accède à la page Web via un appel GET/HEAD. Si l'utilisateur accède à la page Web via un appel POST/PUT, il doit cliquer sur le lien d'actualisation de la page.

  6. Google Cloud Armor exclut de la redirection les requêtes contenant un cookie d'exemption valide, puis accorde l'accès à votre site.

Le schéma suivant illustre le workflow de la page de test reCAPTCHA :

Jetons d'action reCAPTCHA

Vous pouvez utiliser des jetons d'action reCAPTCHA pour protéger les interactions importantes avec les utilisateurs, telles que le règlement.

Dans cette fonctionnalité, vous installez les clés de site reCAPTCHA Enterprise sur vos pages Web. Lorsqu'il existe une interaction de l'utilisateur, reCAPTCHA Enterprise envoie une réponse chiffrée, appelée jeton d'action, au navigateur de l'utilisateur final. Vous devez associer ce jeton d'action à un en-tête de requête prédéfini chaque fois que vous avez besoin de protéger une action utilisateur. Google Cloud Armor décode et valide les attributs de jeton d'action à la place de votre application backend. Vous pouvez configurer des règles de stratégie de sécurité en fonction de divers attributs du jeton d'action, sans nécessiter d'évaluation de jeton de votre application backend.

Le schéma suivant illustre le workflow des jetons d'action reCAPTCHA :

Attributs des jetons d'action reCAPTCHA

Le tableau suivant répertorie l'ensemble des attributs des jetons d'action reCAPTCHA :

Nom de l'attribut Type de données Description
score float Score d'un jeton reCAPTCHA. Un score valide est compris entre 0,0 et 1,0. Le score 1,0 indique que l'interaction présente un risque faible et est très certainement légitime, tandis que 0,0 indique que l'interaction présente un risque élevé et peut être frauduleuse. Pour en savoir plus, consultez la page Interpréter les scores.
captcha_status chaîne État CAPTCHA d'un jeton reCAPTCHA Voici les trois états possibles :
  • Des tests n'étaient pas impliqués lors de l'évaluation de l'utilisateur.
  • Des tests étaient impliqués et l'utilisateur les a résolus.
  • Des tests étaient impliqués et l'utilisateur n'a pas pu les résoudre.
action_name chaîne action_name est le paramètre d'action que vous avez spécifié pour une interaction de l'utilisateur lors de l'appel de grecaptcha.enterprise.execute(). Pour en savoir plus, consultez la section Noms des actions.

Jetons de session reCAPTCHA

Vous pouvez utiliser les jetons de session reCAPTCHA si vous souhaitez protéger la session utilisateur entière sur le domaine du site. Un jeton de session vous permet de réutiliser une évaluation reCAPTCHA Enterprise existante pour une période spécifiée, de sorte qu'aucune autre évaluation ne soit nécessaire pour un utilisateur particulier, ce qui réduit la charge sur reCAPTCHA Enterprise.

Dans cette fonctionnalité, le code JavaScript reCAPTCHA définit un jeton de session en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation. Le navigateur de l'utilisateur final associe le cookie et l'actualise tant que le code JavaScript reCAPTCHA reste actif. Google Cloud Armor valide ce cookie et applique des actions en fonction des règles de stratégie de sécurité.

Pour permettre à reCAPTCHA Enterprise d'apprendre le modèle de navigation de vos utilisateurs finaux, nous vous recommandons d'utiliser un jeton de session reCAPTCHA sur toutes les pages Web de votre site.

Le schéma suivant illustre le workflow des jetons de session reCAPTCHA :

Attributs des jetons de session reCAPTCHA

Le tableau suivant répertorie les attributs des jetons de session reCAPTCHA :

Nom de l'attribut Type de données Description
Score float Score d'un jeton reCAPTCHA. Un score valide est compris entre 0,0 et 1,0. Le score 1,0 indique que l'interaction présente un risque faible et est très certainement légitime, tandis que 0,0 indique que l'interaction présente un risque élevé et peut être frauduleuse. Pour en savoir plus, consultez la page Interpréter les scores.

Étape suivante