L'integrazione di reCAPTCHA Enterprise con WAF e Google Cloud Armor offre le seguenti funzionalità: pagina di verifica reCAPTCHA, token di azione reCAPTCHA e Token di sessione reCAPTCHA. Questo documento ti aiuta a comprendere queste funzionalità e a determinare quale corrisponde meglio al tuo caso d'uso.
Confronto delle funzionalità
La tabella seguente mostra un breve confronto tra la pagina di verifica reCAPTCHA, i token di azione reCAPTCHA e i token di sessione reCAPTCHA:
| Categoria di confronto | Pagina di verifica reCAPTCHA | Token azione reCAPTCHA | Token di sessione reCAPTCHA |
|---|---|---|---|
| Caso d'uso | Utilizza la pagina di verifica reCAPTCHA quando sospetti l'attività di spam diretta al tuo sito e devi escludere i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare una verifica CAPTCHA. |
Utilizza i token di azione reCAPTCHA per proteggere le azioni utente. | Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente sul dominio del sito. |
| Tipo di integrazione | Bassa
L'integrazione richiede la configurazione di regole dei criteri di sicurezza di Google Cloud Armor. |
Medio
L'integrazione richiede:
|
Medio
L'integrazione richiede:
|
| Precisione del rilevamento | Medio
Il processo prevede reindirizzamenti alla pagina di verifica reCAPTCHA, che potrebbe non ricevere tutti gli indicatori specifici della pagina. Di conseguenza, il rilevamento di bot potrebbe essere meno preciso. |
Massima
Un token azione protegge un'azione utente. |
Alto
Un token di sessione protegge l'intera sessione utente sul dominio del sito. |
| Versione di reCAPTCHA supportata | La pagina di verifica di reCAPTCHA utilizza la versione ottimizzata di reCAPTCHA per ridurre al minimo l'integrazione. | Chiavi del sito basate su punteggi e caselle di controllo reCAPTCHA Enterprise | Chiavi del sito basate sul punteggio reCAPTCHA Enterprise |
Pagina di verifica reCAPTCHA
Puoi utilizzare la funzionalità pagina di verifica reCAPTCHA per reindirizzare le richieste in arrivo a reCAPTCHA Enterprise per determinare se ogni richiesta è potenzialmente fraudolenta o legittima.
Questa applicazione di reindirizzamento e la possibile verifica CAPTCHA interrompono l'attività di un utente. Ti consigliamo di usarlo per escludere i bot quando sospetti che le attività di spam vengano indirizzate al tuo sito.
Quando un utente finale (utente) visita il tuo sito per la prima volta, si verificano i seguenti eventi:
- La richiesta dell'utente viene reindirizzata a reCAPTCHA Enterprise a livello di WAF.
- reCAPTCHA Enterprise risponde con una pagina HTML incorporata con il codice JavaScript reCAPTCHA.
- Quando la pagina viene visualizzata, reCAPTCHA Enterprise valuta l'interazione dell'utente. Se necessario, reCAPTCHA Enterprise offre una verifica CAPTCHA all'utente.
A seconda del risultato del test, reCAPTCHA Enterprise esegue le seguenti operazioni:
- Se l'interazione dell'utente supera il test, reCAPTCHA Enterprise emette un cookie di esenzione. Il browser allega questo cookie di esenzione alle richieste successive dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo 3 ore.
- Se l'interazione dell'utente non supera il test, reCAPTCHA Enterprise non emette un cookie di esenzione.
reCAPTCHA Enterprise ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, l'utente deve fare clic sul link per ricaricare la pagina.
Google Cloud Armor esenta le richieste con un cookie di esenzione valido che vengano reindirizzati di nuovo e concede l'accesso al tuo sito.
Il seguente diagramma della sequenza mostra il flusso di lavoro della pagina di verifica reCAPTCHA:
Token azione reCAPTCHA
Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, ad esempio il pagamento.
Il flusso di lavoro dei token delle azioni reCAPTCHA è costituito dai seguenti passaggi:
- Le chiavi del sito reCAPTCHA Enterprise vengono installate sulle tue pagine web.
- Quando l'utente finale attiva un'azione HTML protetta da reCAPTCHA, la pagina web invia gli indicatori raccolti nel browser a reCAPTCHA Enterprise per l'analisi.
- reCAPTCHA Enterprise invia un token azione alla pagina web.
- Devi allegare questo token dell'azione all'intestazione della richiesta che vuoi proteggere.
- Quando l'utente richiede l'accesso con il token per le azioni, Google Cloud Armor decodifica e convalida gli attributi dei token per azioni anziché l'applicazione di backend.
- Google Cloud Armor applica le azioni in base alle regole dei criteri di sicurezza configurate.
Il seguente diagramma della sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA:
Attributi dei token di azione reCAPTCHA
La tabella seguente elenca l'insieme di attributi per i token di azione reCAPTCHA:
| Nome dell'attributo | Tipo di dati | Descrizione |
|---|---|---|
score |
numero in virgola mobile | Il punteggio di un token reCAPTCHA. Il punteggio valido è compreso tra 0,0 e 1,0. Il punteggio 1,0 indica che l'interazione presenta un basso rischio ed è probabilmente legittima, mentre 0,0 indica che l'interazione presenta un rischio elevato e potrebbe essere fraudolenta. Per ulteriori informazioni, consulta la pagina Interpretare i punteggi. |
captcha_status |
string | Lo stato del CAPTCHA da un token reCAPTCHA. Di seguito sono riportati i tre
stati possibili:
|
action_name |
string | action_name è il parametro dell'azione che hai specificato per un'interazione utente durante la chiamata a grecaptcha.enterprise.execute(). Per ulteriori
informazioni, consulta la sezione Nomi delle azioni.
|
Token di sessione reCAPTCHA
Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente sul dominio del sito. Un token di sessione consente di riutilizzare una valutazione reCAPTCHA Enterprise esistente per un periodo specificato, in modo che non siano necessarie ulteriori valutazioni per un particolare utente, riducendo la differenza di utenti e le chiamate reCAPTCHA totali richieste.
Per consentire a reCAPTCHA Enterprise di conoscere il pattern di navigazione degli utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.
Il flusso di lavoro dei token di sessione reCAPTCHA prevede i seguenti passaggi:
- La chiave del sito basata sul punteggio di reCAPTCHA Enterprise viene installata in almeno una delle tue pagine web.
- Il browser carica il codice JavaScript reCAPTCHA da reCAPTCHA Enterprise.
- Il codice JavaScript reCAPTCHA imposta un token sessione come cookie nel browser dell'utente finale dopo la valutazione.
- Il browser dell'utente finale archivia il cookie e JavaScript JavaScript lo aggiorna ogni 30 minuti finché il codice JavaScript di reCAPTCHA rimane attivo.
- Quando l'utente richiede l'accesso con il cookie, Google Cloud Armor convalida questo cookie e applica le azioni in base alle regole dei criteri di sicurezza.
Il seguente diagramma della sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:
Attributi dei token di sessione reCAPTCHA
La tabella seguente elenca gli attributi per i token di sessione reCAPTCHA:
| Nome dell'attributo | Tipo di dati | Descrizione |
|---|---|---|
Score |
numero in virgola mobile | Il punteggio di un token reCAPTCHA. Il punteggio valido è compreso tra 0,0 e 1,0. Il punteggio 1,0 indica che l'interazione presenta un basso rischio ed è probabilmente legittima, mentre 0,0 indica che l'interazione presenta un rischio elevato e potrebbe essere fraudolenta. Per ulteriori informazioni, consulta la pagina Interpretare i punteggi. |
Passaggi successivi
- Scopri come implementare le funzionalità dell'integrazione di reCAPTCHA Enterprise con WAF e Google Cloud Armor.