借助 reCAPTCHA 密钥(也称为密钥),您可以在网页和移动应用中验证用户互动情况,从而保护您的端点。
如需选择合适的 reCAPTCHA 密钥类型,您必须了解 每个平台支持的密钥及其差异。
reCAPTCHA 密钥的类型
下表列出了每个平台支持的 reCAPTCHA 密钥:
| reCAPTCHA 密钥类型 | 说明 | 支持的密钥 | 关键集成类型 |
|---|---|---|---|
| 适用于网站的 reCAPTCHA 密钥 | 用于在网页上集成 reCAPTCHA 的密钥。 | 基于得分的键 | SCORE |
| 复选框键 | CHECKBOX |
||
| 适用于移动应用的 reCAPTCHA 密钥 | 用于在 Android 和 iOS 应用中集成 reCAPTCHA 的密钥。 | 适用于 Android 的 reCAPTCHA 密钥 | SCORE |
| 适用于 iOS 的 reCAPTCHA 密钥 | SCORE |
||
| WAF 的 reCAPTCHA 密钥 | 用于在 WAF 层集成 reCAPTCHA 的密钥。 | 操作令牌密钥 | “SCORE”和“CHECKBOX” |
| 会话令牌密钥 | SCORE |
||
| 验证页密钥 | INVISIBLE |
||
| 快捷键 | SCORE |
选择适用于网站的 reCAPTCHA 密钥类型
对于网站,reCAPTCHA 提供基于得分的机制(无验证) 复选框(多选题视觉质询)键,用于验证用户互动。这两种密钥类型都会返回每个请求的得分,该得分基于与您的网站的互动情况。通过此得分,您可以了解该互动所产生的风险等级,并对您的网站采取适当的措施。
下表总结了基于得分和多选题之间的区别 密钥,并帮助您根据用例选择合适的密钥:
| 比较类别 | 基于得分的键(推荐) | 复选框键 |
|---|---|---|
| 说明 | 借助基于得分的密钥,您可以验证互动是否合法,而无需任何用户互动。 | 复选框键使用需要用户才能验证的复选框验证方式 验证用户不是机器人。此外,您还可以使用 复选框键,通过人机识别系统验证保护特定操作。 |
| 工作原理 | 借助基于分数的密钥,reCAPTCHA Enterprise API 返回得分,您可以利用该得分在 网站。 您可能会执行的操作示例包括要求其他身份验证因素、发送帖子以进行审核或限制可能正在抓取内容的聊天机器人。 |
复选框键会显示“我不是机器人”复选框 用户必须点击该图标,以确认自己不是机器人。 此复选框密钥可能会也可能不会通过人机识别系统要求用户验证。 在这两种情况下,reCAPTCHA Enterprise API 都会返回得分。 人机识别系统验证要求用户从一组图像中选择某些种类的对象,例如路牌。 以下动画 GIF 是一个复选框密钥示例: 下图展示了一个人机识别系统验证示例: 
在使用人机识别系统挑战之前,您必须了解人机识别系统挑战注意事项。 |
| 支持的平台 | 网站和移动平台。 | 仅限网站。 |
| 使用场景 |
基于得分的密钥适用于以下用例:
|
复选框键适用于网站上的表单、登录和注册 页面。虽然这可能会给用户造成额外的负面影响,但额外的步骤(例如人机识别系统挑战)有助于防范不道德的攻击者。 |
人机识别系统验证注意事项
如果您希望使用带有人机识别系统挑战的复选框密钥来防范自动攻击,请注意以下注意事项:
- 人机识别系统需要用户互动,这会增加负面影响,并且可能会降低转化率。
- 由于计算机视觉和机器智能的发展,人机识别系统在区分人与机器人之间的作用越来越小。
- 人机识别系统还受到付费攻击者的威胁,这些攻击者能够解决所有类型的挑战。
- 并非所有用户都能使用人机识别系统,因此,如果您的网站有无障碍功能要求,就可能不适合使用人机识别系统。
为 WAF 选择 reCAPTCHA 密钥类型
下表简单比较了 reCAPTCHA 操作令牌、reCAPTCHA 会话令牌、 reCAPTCHA 验证页面,以及 reCAPTCHA Express:
| 比较类别 | reCAPTCHA 操作令牌 | reCAPTCHA 会话令牌 | reCAPTCHA 质询页面 | reCAPTCHA Express |
|---|---|---|---|---|
| 使用场景 | 使用 reCAPTCHA 操作令牌保护用户操作,例如登录或 评论帖子。 | 使用 reCAPTCHA 会话令牌保护网站网域上的整个用户会话。 | 如果您怀疑有垃圾邮件活动定向到您的网站,而您需要筛掉机器人,请使用 reCAPTCHA 质询页面。
此方法会中断用户的活动,因为用户必须验证人机识别系统质询。 |
如果您的环境不支持此集成,请使用 reCAPTCHA Express reCAPTCHA JavaScript 或移动 SDK 的一部分。 |
| 支持的平台 | 网站和移动应用 | 网站 | 网站 | API、网站、移动应用以及 IoT 设备(例如电视和游戏机) |
| 集成工作 | 中
集成时,您需要执行以下操作:
|
中
集成时,您需要执行以下操作:
|
低
集成需要您配置安全设置 Google Cloud Armor 的政策规则,或第三方 WAF 的 reCAPTCHA 防火墙政策 服务提供商 |
低
集成需要您使用 WAF 配置 reCAPTCHA Express 或从您的应用服务器向 reCAPTCHA 发出请求。 |
| 检测准确率 | 最高
操作令牌可保护各项用户操作。 |
高
会话令牌保护网站网域上的整个用户会话。 |
中
该过程涉及重定向到 reCAPTCHA 验证页面,该页面可能不会接收所有页面专用信号。因此,机器人检测可能会不太准确。 |
低
客户端信号不可用。 |
| 支持的 reCAPTCHA 版本 | reCAPTCHA 基于得分和复选框的密钥 | 基于 reCAPTCHA 分数的密钥 | reCAPTCHA 验证页面使用经过优化的 reCAPTCHA 版本来最大限度地减少集成。 | 基于 reCAPTCHA 分数的密钥 |
您可以在单个应用中使用 reCAPTCHA for WAF 的一项或多项功能。 例如,您可以选择为所有页面应用会话令牌,并根据会话令牌的得分将可疑请求重定向到 reCAPTCHA 验证页面。此外,您还可以使用操作令牌执行重要操作,例如结账。如需了解详情,请参阅示例。