Mendeteksi dan mencegah aktivitas penipuan terkait akun di situs

Dokumen ini menunjukkan cara menggunakan reCAPTCHA Account Defender untuk mendeteksi dan mencegah aktivitas penipuan terkait akun di situs.

reCAPTCHA membantu Anda melindungi tindakan penting, seperti login dan checkout. Namun, ada banyak bentuk penyalahgunaan akun yang halus yang dapat dideteksi dengan mengamati perilaku pengguna tertentu di situs selama jangka waktu tertentu. Pelindung akun reCAPTCHA membantu mengidentifikasi jenis penyalahgunaan halus ini dengan membuat model khusus situs untuk situs Anda guna mendeteksi tren perilaku yang mencurigakan atau perubahan aktivitas. Dengan menggunakan model khusus situs, reCAPTCHA account defender membantu Anda mendeteksi hal berikut:

  • Aktivitas yang mencurigakan
  • Akun dengan perilaku serupa
  • Permintaan yang berasal dari perangkat yang ditandai sebagai tepercaya untuk pengguna tertentu

Berdasarkan analisis reCAPTCHA Account Defender dan model khusus situs, Anda dapat melakukan tindakan berikut:

  • Membatasi atau menonaktifkan akun yang menipu.
  • Mencegah upaya pengambilalihan akun.
  • Memitigasi pengambilalihan akun yang berhasil.
  • Berikan akses hanya untuk permintaan yang berasal dari akun pengguna yang sah.
  • Mengurangi hambatan bagi pengguna yang login dari salah satu perangkat tepercaya mereka.

Sebelum memulai

  1. Siapkan lingkungan Anda untuk reCAPTCHA.
  2. Membuat kunci situs berbasis skor.

Mengonfigurasi halaman web Anda untuk reCAPTCHA account defender

Pelindung akun reCAPTCHA memerlukan pemahaman yang komprehensif tentang aktivitas akun untuk memungkinkan deteksi yang efektif. Untuk mulai memasukkan aktivitas terkait akun ke reCAPTCHA account defender, dan untuk membuat serta meningkatkan model khusus situs, lakukan tindakan berikut:

  1. Aktifkan pengumpulan data telemetri horizontal.
  2. Laporkan tindakan pengguna penting.
  3. Menilai peristiwa pengguna yang penting.
  4. Anotasikan peristiwa pengguna untuk menyesuaikan model khusus situs Anda.

Mengaktifkan pengumpulan data telemetri horizontal

Pelindung akun reCAPTCHA memerlukan tampilan lengkap tindakan pengguna, seperti apakah pengguna login atau mengarah ke login. Untuk mengaktifkan pengumpulan pasif data telemetri horizontal oleh reCAPTCHA account defender, muat skrip JavaScript reCAPTCHA dengan kunci situs berbasis skor yang Anda buat di latar belakang semua halaman web yang merupakan bagian dari alur kerja pengguna Anda.

Contoh berikut menunjukkan cara memuat skrip JavaScript reCAPTCHA di halaman web.

    <head>
    <script src="https://www.google.com/recaptcha/enterprise.js?render=KEY_ID"></script>
    ....
    </head>

Membuat laporan tentang tindakan pengguna yang penting

Untuk mendeteksi pola aktivitas yang mencurigakan dan membangun pemahaman yang lebih baik tentang pola aktivitas umum di situs Anda, reCAPTCHA account defender memerlukan informasi tentang tindakan pengguna yang penting. Oleh karena itu, laporkan tindakan pengguna penting di halaman web dengan memanggil grecaptcha.enterprise.execute() pada tindakan pengguna penting tersebut.

Sebaiknya laporkan semua tindakan pengguna yang penting karena hal ini membantu dalam pengumpulan sinyal tambahan. Untuk setiap tindakan pengguna yang ingin Anda laporkan, ganti nilai parameter action dari grecaptcha.enterprise.execute() dengan nama tindakan yang mendeskripsikan tindakan pengguna.

Tabel berikut mencantumkan nama tindakan yang dapat Anda gunakan saat melaporkan tindakan pengguna yang penting.

Nama tindakan Peristiwa yang dimulai pengguna atau tindakan pengguna
LOGIN

Login ke situs.

REGISTRATION Pendaftaran di situs.
SECURITY_QUESTION_CHANGE Permintaan untuk mengubah pertanyaan keamanan.
PASSWORD_RESET Minta untuk mereset sandi.
PHONE_NUMBER_UPDATE Permintaan untuk memperbarui nomor telepon.
EMAIL_UPDATE Permintaan untuk memperbarui alamat email.
ACCOUNT_UPDATE Permintaan untuk memperbarui informasi terkait akun, seperti detail kontak.
TRIGGER_MFA Tindakan yang memicu tantangan MFA.
REDEEM_CODE Permintaan untuk menukarkan kode.
LIST_PAYMENT_METHODS Mengambil daftar metode pembayaran.

Contoh berikut menunjukkan cara memanggil grecaptcha.enterprise.execute() pada update nomor telepon:

    <script>
    function onClick(e) {
      e.preventDefault();
      grecaptcha.enterprise.ready(async () => {
        const token = await grecaptcha.enterprise.execute('KEY_ID', {action: 'PHONE_NUMBER_UPDATE'});
      });
    }
    </script>
    

Menilai peristiwa pengguna penting

Saat Anda memanggil grecaptcha.enterprise.execute() pada tindakan pengguna, token akan dibuat. Untuk peristiwa pengguna kritis, seperti login yang berhasil dan gagal, pendaftaran, dan tindakan pengguna yang login, buat penilaian untuk menilai hasil panggilan grecaptcha.enterprise.execute(). Penilaian ini memberikan verdict risiko, yang dapat Anda gunakan untuk membuat keputusan tentang cara menangani aktivitas yang berpotensi menipu. Beberapa tindakan yang dapat Anda lakukan adalah memblokir permintaan yang mencurigakan, menantang login berisiko, dan menyelidiki akun yang menarik.

Pelindung akun reCAPTCHA mengharuskan Anda memberikan ID akun yang stabil untuk mengatribusikan aktivitas pengguna – seperti permintaan login, permintaan login, dan permintaan pendaftaran – ke akun tertentu. Hal ini membantu reCAPTCHA account defender memahami pola aktivitas pengguna dan membuat model aktivitas untuk setiap akun guna mendeteksi traffic yang tidak wajar dan menyeleweng dengan lebih baik.

Pilih ID akun accountId yang stabil dan tidak sering diubah oleh pengguna dan berikan ke penilaian dalam metode projects.assessments.create. ID akun stabil ini harus memiliki nilai yang sama untuk semua peristiwa yang terkait dengan pengguna yang sama. Anda dapat memberikan hal berikut sebagai ID akun:

ID pengguna

Jika setiap akun dapat dikaitkan secara unik dengan nama pengguna, alamat email, atau nomor telepon yang stabil, Anda dapat menggunakannya sebagai accountId. Saat Anda memberikan ID lintas situs tersebut (ID yang dapat digunakan kembali di seluruh situs), reCAPTCHA menggunakan informasi ini untuk meningkatkan perlindungan bagi akun pengguna Anda berdasarkan model lintas situs dengan menandai ID akun yang melakukan penyalahgunaan dan menggunakan pengetahuan tentang pola penyalahgunaan lintas situs yang terkait dengan ID ini.

Atau, jika Anda memiliki User-ID internal yang dikaitkan secara unik dengan setiap akun, Anda dapat memberikannya sebagai accountId.

Di-hash atau dienkripsi

Jika tidak memiliki ID pengguna internal yang secara unik dikaitkan dengan setiap akun, Anda dapat mengubah ID stabil menjadi ID akun spesifik per situs yang buram. ID ini masih diperlukan agar reCAPTCHA account defender dapat memahami pola aktivitas pengguna dan mendeteksi perilaku yang tidak normal, tetapi tidak dibagikan di situs lain.

Pilih ID akun yang stabil dan buat buram sebelum dikirim ke reCAPTCHA dengan menggunakan enkripsi atau hashing:

  • enkripsi (direkomendasikan): mengenkripsi ID akun menggunakan metode enkripsi deterministik yang menghasilkan ciphertext yang stabil. Untuk petunjuk selengkapnya, lihat mengenkripsi data secara deterministik. Jika memilih enkripsi simetris daripada hashing, Anda tidak perlu menyimpan pemetaan antara ID pengguna dan ID pengguna buram yang sesuai. Dekripsi ID buram yang ditampilkan oleh reCAPTCHA untuk mengubahnya menjadi ID pengguna.

  • hashing: sebaiknya lakukan hashing pada ID akun menggunakan metode SHA256-HMAC dengan salt kustom pilihan Anda. Karena hash hanya bersifat satu arah, Anda perlu mempertahankan pemetaan antara hash yang dihasilkan dan ID pengguna agar dapat memetakan ID akun yang di-hash yang ditampilkan kembali ke akun asli.

Selain memberikan ID akun yang stabil untuk semua permintaan terkait akun, Anda dapat memberikan ID akun tambahan, yang mungkin tidak stabil, untuk beberapa permintaan tertentu. ID akun khusus konteks yang disediakan selain accountId membantu reCAPTCHA account defender lebih memahami aktivitas pengguna dan mendeteksi upaya pengambilalihan akun untuk menjaga keamanan akun pengguna Anda. Saat Anda memberikan ID tambahan, reCAPTCHA menggunakan informasi ini untuk meningkatkan perlindungan bagi akun pengguna Anda berdasarkan model lintas situs dengan menandai ID akun yang melanggar dan menggunakan pengetahuan tentang pola penyalahgunaan lintas situs yang terkait dengan ID ini. Misalnya, Anda dapat memberikan hal berikut:

  • Nama pengguna, alamat email, atau nomor telepon yang digunakan sebagai nama sebutan login untuk permintaan login

  • Alamat email atau nomor telepon yang diverifikasi untuk permintaan autentikasi multi-faktor

  • Alamat email atau nomor telepon (utama atau sekunder) yang diberikan oleh pengguna selama permintaan pembaruan akun

  • Alamat email dan nomor telepon yang diberikan oleh pengguna selama permintaan pendaftaran

Tambahkan ID akun stabil yang dipilih ke parameter accountId dalam metode projects.assessments.create untuk semua permintaan terkait akun. Secara opsional, berikan ID akun tambahan untuk permintaan yang relevan menggunakan kolom userIds dalam penilaian.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: project ID Google Cloud Anda
  • TOKEN: token yang ditampilkan dari panggilan grecaptcha.enterprise.execute()
  • KEY_ID: Kunci reCAPTCHA yang terkait dengan situs
  • ACCOUNT_ID: ID yang secara unik dikaitkan dengan akun pengguna untuk akun pengguna ke situs Anda
  • EMAIL_ADDRESS: Opsional. Alamat email yang terkait dengan permintaan ini, jika ada
  • PHONE_NUMBER: Opsional. Nomor telepon yang terkait dengan permintaan ini, jika ada
  • USERNAME: Opsional. Nama pengguna yang terkait dengan permintaan ini, jika ada

Metode HTTP dan URL:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments

Isi JSON permintaan:

{
  "event": {
    "token": "TOKEN",
    "siteKey": "KEY_ID",
    "userInfo": {
      "accountId": "ACCOUNT_ID",
      "userIds": [
        {
          "email": "EMAIL_ADDRESS"
        },
        {
          "phoneNumber": "PHONE_NUMBER"
        },
        {
          "username": "USERNAME"
        }
      ]
    }
  }
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "tokenProperties": {
    "valid": true,
    "hostname": "www.google.com",
    "action": "login",
    "createTime": "2019-03-28T12:24:17.894Z"
   },
  "riskAnalysis": {
    "score": 0.6,
  },
 "event": {
    "token": "TOKEN",
    "siteKey": "KEY",
    "userInfo": {
      "accountId": "ACCOUNT_ID"
    }
  },
  "name": "projects/PROJECT_NUMBER/assessments/b6ac310000000000",
  "accountDefenderAssessment": {
    "labels": ["SUSPICIOUS_LOGIN_ACTIVITY"]
  }
}

Contoh kode

Java

Untuk melakukan autentikasi ke reCAPTCHA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.


import com.google.cloud.recaptchaenterprise.v1.RecaptchaEnterpriseServiceClient;
import com.google.protobuf.ByteString;
import com.google.recaptchaenterprise.v1.AccountDefenderAssessment.AccountDefenderLabel;
import com.google.recaptchaenterprise.v1.Assessment;
import com.google.recaptchaenterprise.v1.CreateAssessmentRequest;
import com.google.recaptchaenterprise.v1.Event;
import com.google.recaptchaenterprise.v1.ProjectName;
import com.google.recaptchaenterprise.v1.RiskAnalysis.ClassificationReason;
import com.google.recaptchaenterprise.v1.TokenProperties;
import com.google.recaptchaenterprise.v1.UserId;
import com.google.recaptchaenterprise.v1.UserInfo;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.List;
import java.util.UUID;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

public class AccountDefenderAssessment {

  public static void main(String[] args)
      throws IOException, NoSuchAlgorithmException, InvalidKeyException {
    // TODO(developer): Replace these variables before running the sample.
    // projectId: Google Cloud Project ID
    String projectId = "project-id";

    // recaptchaSiteKey: Site key obtained by registering a domain/app to use recaptcha
    // services.
    String recaptchaSiteKey = "recaptcha-site-key";

    // token: The token obtained from the client on passing the recaptchaSiteKey.
    // To get the token, integrate the recaptchaSiteKey with frontend. See,
    // https://cloud.google.com/recaptcha-enterprise/docs/instrument-web-pages#frontend_integration_score
    String token = "recaptcha-token";

    // recaptchaAction: The action name corresponding to the token.
    String recaptchaAction = "recaptcha-action";

    // Unique ID of the user, such as email, customer ID, etc.
    String accountId = "default" + UUID.randomUUID().toString().split("-")[0];

    // User phone number
    String phoneNumber = "555-987-XXXX";

    // User email address
    String emailAddress = "john.doe@example.com";

    accountDefenderAssessment(projectId, recaptchaSiteKey, token, recaptchaAction, accountId, phoneNumber, emailAddress);
  }

  /**
   * This assessment detects account takeovers. See,
   * https://cloud.google.com/recaptcha-enterprise/docs/account-takeovers The input is the hashed
   * account id. Result tells if the action represents an account takeover. You can optionally
   * trigger a Multi-Factor Authentication based on the result.
   */
  public static void accountDefenderAssessment(
      String projectId,
      String recaptchaSiteKey,
      String token,
      String recaptchaAction,
      String accountId,
      String phoneNumber,
      String emailAddress)
      throws IOException {
    try (RecaptchaEnterpriseServiceClient client = RecaptchaEnterpriseServiceClient.create()) {

      // Set the properties of the event to be tracked.
      Event.Builder eventBuilder =
          Event.newBuilder()
              .setSiteKey(recaptchaSiteKey)
              .setToken(token);

      // Set the account id, email address and phone number (of the user).
      eventBuilder.setUserInfo(
        UserInfo.newBuilder()
          .setAccountId(accountId)
          .addUserIds(UserId.newBuilder().setEmail(emailAddress))
          .addUserIds(UserId.newBuilder().setPhoneNumber(phoneNumber)));

      Event event = eventBuilder.build();

      // Build the assessment request.
      CreateAssessmentRequest createAssessmentRequest =
          CreateAssessmentRequest.newBuilder()
              .setParent(ProjectName.of(projectId).toString())
              .setAssessment(Assessment.newBuilder().setEvent(event).build())
              .build();

      Assessment response = client.createAssessment(createAssessmentRequest);

      // Check integrity of the response token.
      if (!checkTokenIntegrity(response.getTokenProperties(), recaptchaAction)) {
        return;
      }

      // Get the reason(s) and the reCAPTCHA risk score.
      // For more information on interpreting the assessment,
      // see: https://cloud.google.com/recaptcha-enterprise/docs/interpret-assessment
      for (ClassificationReason reason : response.getRiskAnalysis().getReasonsList()) {
        System.out.println(reason);
      }
      float recaptchaScore = response.getRiskAnalysis().getScore();
      System.out.println("The reCAPTCHA score is: " + recaptchaScore);
      String assessmentName = response.getName();
      System.out.println(
          "Assessment name: " + assessmentName.substring(assessmentName.lastIndexOf("/") + 1));

      // Get the Account Defender result.
      com.google.recaptchaenterprise.v1.AccountDefenderAssessment accountDefenderAssessment =
          response.getAccountDefenderAssessment();
      System.out.println(accountDefenderAssessment);

      // Get Account Defender label.
      List<AccountDefenderLabel> defenderResult =
          response.getAccountDefenderAssessment().getLabelsList();
      // Based on the result, can you choose next steps.
      // If the 'defenderResult' field is empty, it indicates that Account Defender did not have
      // anything to add to the score.
      // Few result labels: ACCOUNT_DEFENDER_LABEL_UNSPECIFIED, PROFILE_MATCH,
      // SUSPICIOUS_LOGIN_ACTIVITY, SUSPICIOUS_ACCOUNT_CREATION, RELATED_ACCOUNTS_NUMBER_HIGH.
      // For more information on interpreting the assessment, see:
      // https://cloud.google.com/recaptcha-enterprise/docs/account-defender#interpret-assessment-details
      System.out.println("Account Defender Assessment Result: " + defenderResult);
    }
  }

  private static boolean checkTokenIntegrity(
      TokenProperties tokenProperties, String recaptchaAction) {
    // Check if the token is valid.
    if (!tokenProperties.getValid()) {
      System.out.println(
          "The Account Defender Assessment call failed because the token was: "
              + tokenProperties.getInvalidReason().name());
      return false;
    }

    // Check if the expected action was executed.
    if (!tokenProperties.getAction().equals(recaptchaAction)) {
      System.out.printf(
          "The action attribute in the reCAPTCHA tag '%s' does not match "
              + "the action '%s' you are expecting to score",
          tokenProperties.getAction(), recaptchaAction);
      return false;
    }
    return true;
  }
}

Menafsirkan verdict risiko peristiwa pengguna penting

Saat Anda membuat penilaian dengan account defender diaktifkan, account defender akan menampilkan accountDefenderAssessment sebagai bagian dari respons penilaian. Nilai accountDefenderAssessment membantu Anda menilai apakah aktivitas pengguna sah atau menipu. Fungsi ini juga menampilkan ID penilaian yang perlu Anda gunakan saat menganotasi peristiwa pengguna.

Contoh berikut adalah contoh respons JSON:

{
  "tokenProperties": {
    "valid": true,
    "hostname": "www.google.com",
    "action": "login",
    "createTime": "2019-03-28T12:24:17.894Z"
   },
  "riskAnalysis": {
    "score": 0.6,
  },
 "event": {
    "token": "TOKEN",
    "siteKey": "KEY_ID",
    "expectedAction": "USER_ACTION"
  },
  "name": "projects/PROJECT_ID/assessments/b6ac310000000000X",
  "accountDefenderAssessment": {
    labels: ["SUSPICIOUS_LOGIN_ACTIVITY"]
  }
}

Kolom accountDefenderAssessment dapat memiliki salah satu nilai berikut:

Nilai Deskripsi
SUSPICIOUS_LOGIN_ACTIVITY Menunjukkan bahwa permintaan tersebut berisiko tinggi terhadap stuffing kredensial atau pengambilalihan akun.
SUSPICIOUS_ACCOUNT_CREATION Menunjukkan bahwa permintaan tersebut memiliki risiko tinggi terhadap pembuatan akun yang melanggar.
PROFILE_MATCH

Menunjukkan bahwa atribut pengguna cocok dengan atribut yang telah dilihat sebelumnya untuk pengguna tertentu ini. Nilai ini adalah indikator bahwa pengguna ini menggunakan perangkat tepercaya yang sebelumnya digunakan untuk mengakses situs Anda.

PROFILE_MATCH hanya ditampilkan dalam skenario berikut:

  • Anda menggunakan Autentikasi multi-faktor(MFA) atau Autentikasi 2 faktor(2FA) dan reCAPTCHA account defender menandai profil pengguna sebagai tepercaya setelah pengguna lulus tantangan MFA atau 2FA.
  • Anda menganotasi penilaian sebagai LEGITIMATE atau PASSED_TWO_FACTOR dan reCAPTCHA account defender menandai profil pengguna yang sesuai sebagai tepercaya.
RELATED_ACCOUNTS_NUMBER_HIGH Menunjukkan bahwa permintaan memiliki banyak akun terkait. Hal ini tidak selalu berarti bahwa akun tersebut buruk, tetapi mungkin memerlukan penyelidikan lebih lanjut.

Menambahkan anotasi pada peristiwa untuk menyesuaikan model spesifik situs

Untuk memberikan informasi lebih lanjut kepada reCAPTCHA account defender dan meningkatkan model deteksi khusus situs, Anda harus menganotasi peristiwa yang dinilai dengan membuat penilaian.

Anda menganotasi penilaian dengan mengirim permintaan ke metode projects.assessments.annotate dengan ID penilaian. Dalam isi permintaan tersebut, Anda menyertakan label yang memberikan informasi tambahan tentang peristiwa yang dijelaskan dalam penilaian.

Untuk menganotasi penilaian, lakukan hal berikut:

  1. Tentukan informasi dan label yang akan ditambahkan dalam isi JSON permintaan, bergantung pada kasus penggunaan Anda.

    Tabel berikut mencantumkan label dan nilai yang dapat Anda gunakan untuk menganotasi peristiwa:

    Label Deskripsi Contoh permintaan
    reasons Wajib. Label untuk mendukung penilaian Anda.

    Berikan detail peristiwa real-time di label reasons dalam beberapa detik atau menit setelah peristiwa karena hal ini memengaruhi deteksi real-time.

    Untuk mengetahui daftar nilai yang memungkinkan, lihat nilai alasan.

    Contoh: Untuk mendeteksi pengambilalihan akun, anotasikan apakah sandi yang dimasukkan sudah benar dengan nilai CORRECT_PASSWORD atau INCORRECT_PASSWORD. Jika men-deploy MFA Anda sendiri, Anda dapat menambahkan nilai berikut: INITIATED_TWO_FACTOR, dan PASSED_TWO_FACTOR atau FAILED_TWO_FACTOR.

          {
          "reasons": ["INCORRECT_PASSWORD"]
          }
        
    annotation Opsional. Label untuk menunjukkan legitimasi penilaian.

    Berikan fakta tentang peristiwa login dan pendaftaran untuk memvalidasi atau memperbaiki penilaian risiko Anda di label annotation.

    Kemungkinan nilai: LEGITIMATE atau FRAUDULENT.

    Anda dapat mengirimkan informasi ini kapan saja atau sebagai bagian dari tugas batch. Namun, sebaiknya kirim informasi ini dalam beberapa detik atau menit setelah peristiwa karena informasi ini memengaruhi deteksi real-time.

          {
           "annotation": "LEGITIMATE"
          }
    
      
    accountId

    Opsional. Label untuk mengaitkan ID akun dengan peristiwa.

    Jika Anda membuat penilaian tanpa ID akun, gunakan label ini untuk memberikan ID akun peristiwa setiap kali tersedia.

      {
       "accountId": "ACCOUNT_ID"
      }
  2. Buat permintaan anotasi dengan label yang sesuai.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • ASSESSMENT_ID: Nilai kolom name yang ditampilkan dari panggilan projects.assessments.create.
    • ANNOTATION: Opsional. Label untuk menunjukkan apakah penilaian tersebut sah atau menipu.
    • REASONS: Opsional. Alasan yang mendukung anotasi Anda. Untuk mengetahui daftar kemungkinan nilai, lihat nilai alasan.
    • ACCOUNT_ID: Opsional. ID yang secara unik dikaitkan dengan akun pengguna di situs Anda.

    Untuk informasi selengkapnya, lihat label untuk anotasi.

    Metode HTTP dan URL:

    POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate

    Isi JSON permintaan:

    {
      "annotation": ANNOTATION,
      "reasons": REASONS,
      "accountId": ACCOUNT_ID
    }
    

    Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

    curl

    Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

    curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"

    PowerShell

    Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Content

    Anda akan menerima kode status yang berhasil (2xx) dan respons kosong.

Contoh kode

Java

Untuk melakukan autentikasi ke reCAPTCHA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.


import com.google.cloud.recaptchaenterprise.v1.RecaptchaEnterpriseServiceClient;
import com.google.protobuf.ByteString;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest.Annotation;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest.Reason;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentResponse;
import com.google.recaptchaenterprise.v1.AssessmentName;
import java.io.IOException;
import java.security.NoSuchAlgorithmException;
import java.util.UUID;

public class AnnotateAccountDefenderAssessment {

  public static void main(String[] args) throws IOException, NoSuchAlgorithmException {
    // TODO(developer): Replace these variables before running the sample.
    // projectID: GCloud Project id.
    String projectID = "project-id";

    // assessmentId: Value of the 'name' field returned from the CreateAssessment call.
    String assessmentId = "account-defender-assessment-id";

    // accountId: Set the accountId corresponding to the assessment id.
    String accountId = "default" + UUID.randomUUID().toString().split("-")[0];

    annotateAssessment(projectID, assessmentId, accountId);
  }

  /**
   * Pre-requisite: Create an assessment before annotating. Annotate an assessment to provide
   * feedback on the correctness of recaptcha prediction.
   */
  public static void annotateAssessment(
      String projectID, String assessmentId, String accountId) throws IOException {

    try (RecaptchaEnterpriseServiceClient client = RecaptchaEnterpriseServiceClient.create()) {
      // Build the annotation request.
      // For more info on when/how to annotate, see:
      // https://cloud.google.com/recaptcha-enterprise/docs/annotate-assessment#when_to_annotate
      AnnotateAssessmentRequest annotateAssessmentRequest =
          AnnotateAssessmentRequest.newBuilder()
              .setName(AssessmentName.of(projectID, assessmentId).toString())
              .setAnnotation(Annotation.LEGITIMATE)
              .addReasons(Reason.PASSED_TWO_FACTOR)
              .setAccountId(accountId)
              .build();

      // Empty response is sent back.
      AnnotateAssessmentResponse response = client.annotateAssessment(annotateAssessmentRequest);
      System.out.println("Annotated response sent successfully ! " + response);
    }
  }
}

Mengaktifkan reCAPTCHA account defender

Setelah mengonfigurasi halaman web untuk reCAPTCHA account defender, Anda dapat mengaktifkan reCAPTCHA account defender.

  1. Di konsol Google Cloud, buka halaman reCAPTCHA.

    Buka reCAPTCHA

  2. Pastikan nama project Anda muncul di pemilih resource di bagian atas halaman.

    Jika tidak melihat nama project, klik pemilih resource, lalu pilih project Anda.

  3. Klik Setelan.
  4. Di panel Account defender, klik Configure.

  5. Dalam dialog Configure account defender, klik Enable, lalu klik Save.

Mungkin perlu waktu beberapa jam agar pengaktifan reCAPTCHA account defender diterapkan ke sistem kami. Setelah pengaktifan fitur disebarkan ke sistem kami, Anda akan mulai menerima respons terkait pembela akun sebagai bagian dari penilaian.

Langkah selanjutnya