Fitur untuk integrasi dengan penyedia layanan WAF

Dokumen ini membantu Anda memahami fitur reCAPTCHA untuk WAF dan menentukan fitur mana yang paling sesuai dengan kasus penggunaan Anda.

reCAPTCHA untuk WAF menawarkan fitur berikut yang dapat Anda gunakan untuk berintegrasi dengan penyedia layanan firewall aplikasi web (WAF):

• Token tindakan reCAPTCHA
• Token sesi reCAPTCHA
• Halaman tantangan reCAPTCHA
• reCAPTCHA express

Ringkasan fitur

Tabel berikut menunjukkan perbandingan singkat token tindakan reCAPTCHA, token sesi reCAPTCHA, halaman tantangan reCAPTCHA, dan reCAPTCHA express:

Kategori perbandingan	Token tindakan reCAPTCHA	Token sesi reCAPTCHA	Halaman tantangan reCAPTCHA	reCAPTCHA ekspres
Kasus penggunaan	Gunakan token tindakan reCAPTCHA untuk melindungi tindakan pengguna, seperti login atau membuat postingan komentar.	Gunakan token sesi reCAPTCHA untuk melindungi seluruh sesi pengguna di domain situs.	Gunakan halaman tantangan reCAPTCHA jika Anda mencurigai aktivitas spam yang diarahkan ke situs Anda dan Anda perlu menyaring bot. Metode ini akan mengganggu aktivitas pengguna karena pengguna harus memverifikasi tantangan CAPTCHA.	Gunakan reCAPTCHA Express jika lingkungan Anda tidak mendukung integrasi reCAPTCHA JavaScript atau SDK seluler.
Platform yang didukung	Situs dan aplikasi seluler	Websites	Websites	API, situs, aplikasi seluler, dan perangkat IoT seperti TV dan konsol game
Upaya integrasi	Sedang Integrasi mengharuskan Anda melakukan hal berikut: Instal JavaScript reCAPTCHA di setiap halaman situs Anda atau instal SDK seluler reCAPTCHA di aplikasi seluler Anda. Lampirkan token tindakan ke setiap header permintaan. Konfigurasikan aturan kebijakan keamanan Google Cloud Armor, atau kebijakan firewall reCAPTCHA untuk penyedia layanan WAF pihak ketiga.	Sedang Integrasi mengharuskan Anda melakukan hal berikut: Instal JavaScript reCAPTCHA di setiap halaman situs Anda. Konfigurasikan aturan kebijakan keamanan Google Cloud Armor, atau kebijakan firewall reCAPTCHA untuk penyedia layanan WAF pihak ketiga.	Rendah Integrasi mengharuskan Anda mengonfigurasi aturan kebijakan keamanan untuk Google Cloud Armor, atau kebijakan firewall reCAPTCHA untuk penyedia layanan WAF pihak ketiga.	Rendah Integrasi mengharuskan Anda mengonfigurasi reCAPTCHA Express dengan penyedia layanan WAF atau membuat permintaan dari server aplikasi ke reCAPTCHA.
Akurasi deteksi	Tertinggi Token tindakan melindungi tindakan pengguna individual.	Tinggi Token sesi melindungi seluruh sesi pengguna di domain situs.	Sedang Proses ini melibatkan pengalihan ke halaman tantangan reCAPTCHA, yang mungkin tidak menerima semua sinyal khusus halaman. Akibatnya, deteksi bot mungkin kurang akurat.	Rendah Sinyal sisi klien tidak tersedia.
Versi reCAPTCHA yang didukung	Kunci kotak centang dan berbasis skor reCAPTCHA	Kunci berbasis skor reCAPTCHA	Halaman tantangan reCAPTCHA menggunakan reCAPTCHA versi yang dioptimalkan untuk meminimalkan integrasi.	Kunci berbasis skor reCAPTCHA

Anda dapat menggunakan satu atau beberapa fitur reCAPTCHA untuk WAF dalam satu aplikasi. Misalnya, Anda dapat memilih untuk menerapkan token sesi untuk semua halaman, dan berdasarkan skor token sesi, Anda dapat mengalihkan permintaan yang mencurigakan ke halaman tantangan reCAPTCHA. Selain itu, Anda dapat menggunakan token tindakan untuk tindakan berprofil tinggi, seperti checkout. Untuk mengetahui informasi selengkapnya, lihat contoh.

Token tindakan reCAPTCHA

Anda dapat menggunakan token tindakan reCAPTCHA untuk melindungi interaksi pengguna yang penting, seperti checkout di halaman web dan di aplikasi seluler.

Alur kerja token tindakan reCAPTCHA terdiri dari langkah-langkah berikut:

1. Saat pengguna akhir memicu tindakan yang dilindungi oleh reCAPTCHA, halaman web atau aplikasi seluler akan mengirimkan sinyal yang dikumpulkan di browser ke reCAPTCHA untuk dianalisis.
2. reCAPTCHA mengirim token tindakan ke halaman web atau aplikasi seluler.
3. Anda melampirkan token tindakan ini ke header permintaan yang ingin dilindungi.
4. Saat pengguna akhir meminta akses dengan token tindakan, penyedia layanan WAF akan mendekode dan memvalidasi atribut token tindakan, bukan aplikasi backend Anda.
5. Penyedia layanan WAF menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall yang Anda konfigurasi, mana saja yang berlaku.

Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk situs:

Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk aplikasi seluler:

Token sesi reCAPTCHA

Anda dapat menggunakan token sesi reCAPTCHA jika ingin melindungi seluruh sesi pengguna di domain situs. Token sesi memungkinkan Anda menggunakan kembali penilaian reCAPTCHA yang ada selama jangka waktu tertentu, sehingga tidak diperlukan penilaian lebih lanjut untuk pengguna tertentu, sehingga mengurangi friksi pengguna, dan total panggilan reCAPTCHA yang diperlukan.

Agar reCAPTCHA dapat mempelajari pola penjelajahan pengguna akhir, sebaiknya gunakan token sesi reCAPTCHA di semua halaman web situs Anda.

Alur kerja token sesi reCAPTCHA terdiri dari langkah-langkah berikut:

1. Browser memuat JavaScript reCAPTCHA dari reCAPTCHA.
2. JavaScript reCAPTCHA menetapkan token sesi sebagai cookie di browser pengguna akhir setelah penilaian.
3. Browser pengguna akhir menyimpan cookie dan JavaScript reCAPTCHA memuat ulang cookie setiap 30 menit selama JavaScript reCAPTCHA tetap aktif.
4. Saat pengguna meminta akses dengan cookie, penyedia layanan WAF akan memvalidasi cookie ini dan menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall.

Diagram urutan berikut menunjukkan alur kerja token sesi reCAPTCHA:

Halaman tantangan reCAPTCHA

Anda dapat menggunakan fitur halaman tantangan reCAPTCHA untuk mengalihkan permintaan masuk ke reCAPTCHA guna menentukan apakah setiap permintaan berpotensi menipu atau sah.

Penerapan pengalihan dan kemungkinan verifikasi CAPTCHA ini akan mengganggu aktivitas pengguna. Sebaiknya gunakan fitur ini untuk menyaring bot saat Anda mencurigai aktivitas spam yang diarahkan ke situs Anda.

Saat pengguna akhir (pengguna) mengunjungi situs Anda untuk pertama kalinya, peristiwa berikut akan terjadi:

1. Di lapisan WAF, permintaan pengguna dialihkan ke halaman reCAPTCHA.
2. reCAPTCHA merespons dengan halaman HTML yang disematkan dengan JavaScript reCAPTCHA.
3. Saat halaman tantangan dirender, reCAPTCHA akan menilai interaksi pengguna. Jika perlu, reCAPTCHA akan menampilkan tantangan CAPTCHA kepada pengguna.

4. Bergantung pada hasil penilaian, reCAPTCHA akan melakukan hal berikut:

   1. Jika interaksi pengguna lulus penilaian, reCAPTCHA akan mengeluarkan cookie pengecualian. Browser melampirkan cookie pengecualian ini ke permintaan berikutnya pengguna ke situs yang sama hingga cookie berakhir masa berlakunya. Secara default, masa berlaku cookie pengecualian akan berakhir setelah tiga jam.
   2. Jika interaksi pengguna tidak lulus penilaian, reCAPTCHA tidak akan mengeluarkan cookie pengecualian.

5. reCAPTCHA memuat ulang halaman web dengan cookie pengecualian jika pengguna mengakses halaman web menggunakan panggilan GET/HEAD. Jika pengguna mengakses halaman web menggunakan panggilan POST/PUT, pengguna harus mengklik link muat ulang di halaman.

6. Penyedia layanan WAF mengecualikan permintaan yang memiliki cookie pengecualian yang valid agar tidak dialihkan lagi dan memberikan akses ke situs Anda.

Diagram urutan berikut menunjukkan alur kerja halaman reCAPTCHA:

reCAPTCHA ekspres untuk WAF

Anda dapat menggunakan reCAPTCHA Express untuk melindungi aplikasi di lingkungan yang tidak mendukung JavaScript reCAPTCHA atau SDK seluler bawaan, misalnya, perangkat IoT dan set-top box. Anda dapat menyiapkan reCAPTCHA ekspres di lapisan WAF dengan penyedia layanan WAF atau di lingkungan mandiri di server aplikasi. reCAPTCHA ekspres hanya menggunakan sinyal backend untuk menghasilkan skor risiko reCAPTCHA.

Alur kerja reCAPTCHA WAF ekspres terdiri dari langkah-langkah berikut:

1. Saat pengguna meminta akses untuk halaman web, penyedia layanan WAF akan membuat permintaan penilaian ke reCAPTCHA.
2. reCAPTCHA menilai interaksi pengguna dan mengirimkan skor risiko.
3. Berdasarkan skor risiko, penyedia layanan WAF atau server aplikasi mengizinkan atau memblokir akses.

Diagram urutan berikut menunjukkan alur kerja reCAPTCHA WAF express:

Langkah selanjutnya

• Pelajari atribut token untuk Google Cloud Armor.
• Mengintegrasikan reCAPTCHA untuk WAF dengan Google Cloud Armor di situs.
• Mengintegrasikan reCAPTCHA untuk WAF dengan Google Cloud Armor di aplikasi seluler.
• Pelajari atribut token untuk Fastly.
• Mengintegrasikan reCAPTCHA untuk WAF dengan Fastly.
• Menyiapkan reCAPTCHA ekspres di server aplikasi.