借助 reCAPTCHA 密钥(也称为密钥),您可以在网页和移动应用中验证用户互动情况,从而保护您的端点。
要选择适当的 reCAPTCHA 密钥类型,您必须了解每个平台支持的密钥类型及其差异。
reCAPTCHA 密钥的类型
下表列出了每个平台支持的 reCAPTCHA 密钥:
reCAPTCHA 密钥类型 | 说明 | 支持的按键 | 关键集成类型 |
---|---|---|---|
适用于网站的 reCAPTCHA 密钥 | 用于在网页上集成 reCAPTCHA 的密钥。 | 基于得分的键 | SCORE |
复选框键 | CHECKBOX |
||
适用于移动应用的 reCAPTCHA 密钥 | 用于在 Android 和 iOS 应用中集成 reCAPTCHA 的密钥。 | 适用于 Android 的 reCAPTCHA 密钥 | SCORE |
适用于 iOS 的 reCAPTCHA 密钥 | SCORE |
||
WAF 的 reCAPTCHA 密钥 | 用于在 WAF 层集成 reCAPTCHA 的密钥。 | 操作令牌密钥 | “SCORE ”和“CHECKBOX ” |
会话令牌密钥 | SCORE |
||
challenge-page 键 | INVISIBLE |
||
快捷键 | SCORE |
选择适用于网站的 reCAPTCHA 密钥类型
对于网站,reCAPTCHA 提供基于得分(无挑战)的网站密钥和复选框(复选框视觉挑战)密钥,以验证用户互动。这两种密钥类型都会返回每个请求的得分,该得分基于与您的网站的互动情况。通过此得分,您可以了解该互动所产生的风险等级,并对您的网站采取适当的措施。
下表总结了基于得分的网站密钥和复选框网站密钥之间的差异,并可帮助您根据自己的用例选择适当的密钥:
比较类别 | 基于得分的键(推荐) | 复选框键 |
---|---|---|
说明 | 借助基于得分的密钥,您可以验证互动是否合法,而无需任何用户互动。 | 复选框密钥会使用复选框挑战,这需要用户互动来验证用户不是机器人。此外,您还可以使用复选框密钥来保护对人机识别系统挑战执行的特定操作。 |
工作原理 | 使用基于得分的密钥时,reCAPTCHA Enterprise API 会返回一个得分,您可以使用该得分在网站的情境中采取相应措施。 您可能会执行的操作示例包括要求其他身份验证因素、发送帖子以进行审核或限制可能正在抓取内容的聊天机器人。 |
复选框密钥会呈现我不是机器人复选框,因此用户必须点击以确认其不是机器人。此复选框密钥可能会也可能不会通过人机识别系统要求用户验证。 在这两种情况下,reCAPTCHA Enterprise API 都会返回得分。 人机识别系统验证要求用户从一组图像中选择某些种类的对象,例如路牌。 以下动画 GIF 是一个复选框密钥示例: 下图展示了一个人机识别系统验证示例: 在使用人机识别系统挑战之前,您必须了解人机识别系统挑战注意事项。 |
支持的平台 | 网站和移动平台。 | 仅限网站。 |
使用场景 |
基于得分的密钥适用于以下用例:
|
复选框键适用于网页上的表单、登录和注册。虽然这可能会给用户造成额外的负面影响,但额外的步骤(例如人机识别系统挑战)有助于防范不道德的攻击者。 |
人机识别系统挑战的注意事项
如果您希望使用带有人机识别系统挑战的复选框密钥来防范自动攻击,请注意以下注意事项:
- 人机识别系统需要用户互动,这会增加负面影响,并且可能会降低转化率。
- 由于计算机视觉和机器智能的发展,人机识别系统在区分人与机器人之间的作用越来越小。
- 人机识别系统还受到付费攻击者的威胁,这些攻击者能够解决所有类型的挑战。
- 并非所有用户都能使用人机识别系统,因此,如果您的网站有无障碍功能要求,就可能不适合使用人机识别系统。
为 WAF 选择 reCAPTCHA 密钥类型
下表显示了 reCAPTCHA 操作令牌、reCAPTCHA 会话令牌、reCAPTCHA 验证页面和 reCAPTCHA 极速验证的简要比较:
比较类别 | reCAPTCHA 操作令牌 | reCAPTCHA 会话令牌 | reCAPTCHA 质询页面 | reCAPTCHA 极速版 |
---|---|---|---|---|
使用场景 | 使用 reCAPTCHA 操作令牌保护用户操作,例如登录或评论帖子。 | 使用 reCAPTCHA 会话令牌保护网站网域上的整个用户会话。 | 如果您怀疑有垃圾邮件活动定向到您的网站,而您需要筛掉机器人,请使用 reCAPTCHA 验证页面。
此方法会中断用户的活动,因为用户必须验证人机识别系统质询。 |
如果您的环境不支持集成 reCAPTCHA JavaScript 或移动 SDK,请使用 reCAPTCHA Express。 |
支持的平台 | 网站和移动应用 | 网站 | 网站 | API、网站、移动应用以及 IoT 设备(例如电视和游戏机) |
集成工作 | 中
集成时,您需要执行以下操作:
|
中
集成时,您需要执行以下操作:
|
低
集成时,您需要为 Google Cloud Armor 配置安全政策规则,或为第三方 WAF 服务提供商配置 reCAPTCHA 防火墙政策。 |
低
若要进行集成,您需要通过 WAF 服务提供商配置 reCAPTCHA Express,或者从应用服务器向 reCAPTCHA 发出请求。 |
检测准确率 | 最高
操作令牌可保护单个用户操作。 |
高
会话令牌保护网站网域上的整个用户会话。 |
中
该过程涉及重定向到 reCAPTCHA 验证页面,该页面可能不会接收所有页面专用信号。因此,机器人检测可能会不太准确。 |
低
客户端信号不可用。 |
支持的 reCAPTCHA 版本 | reCAPTCHA 基于得分和复选框的密钥 | reCAPTCHA 基于得分的密钥 | reCAPTCHA 验证页面使用经过优化的 reCAPTCHA 版本来最大限度地减少集成。 | reCAPTCHA 基于得分的密钥 |
您可以在一款应用中使用一个或多个 reCAPTCHA for WAF 功能。 例如,您可以选择为所有页面应用会话令牌,并根据会话令牌的得分将可疑请求重定向到 reCAPTCHA 验证页面。此外,您还可以使用操作令牌执行重要操作,例如结账。如需了解详情,请参阅示例。