reCAPTCHA の実装について

このドキュメントでは、ウェブサイトとモバイルアプリを保護するための reCAPTCHA の実装パスについて説明します。reCAPTCHA は、ウェブサイト、モバイルアプリ、WAF レイヤ、アプリケーションサーバーで設定できます。

ウェブサイト用の reCAPTCHA ワークフロー

次の図では、ウェブサイトでの reCAPTCHA の実装の概要を示します。

ウェブサイトの実装ワークフローを示すワークフロー図

ウェブサイトに reCAPTCHA を設定する手順は次のとおりです。

reCAPTCHA キーを作成する: ユースケースに最適な reCAPTCHA キータイプを選択し、キーを作成します。
reCAPTCHA をウェブサイトと統合する: ユーザーアクションに関する情報を収集して reCAPTCHA に送信するには、reCAPTCHA JavaScript API を使用して、作成したキーをウェブページにインストールします。
reCAPTCHA をバックエンドと統合する: バックエンドサーバーから評価を作成し、reCAPTCHA から送信されたトークンを検証して、リスクを評価します。評価スコアと関連するリスクを解釈し、ユーザーの処理方法を定義します。たとえば、スコアが高い（リスクが低いことを示す）場合にのみユーザーがログインできるようにします。

reCAPTCHA を設定した後、ユーザー操作に関する詳細情報がある場合は、評価にアノテーションを付けることをおすすめします。これにより、reCAPTCHA がサイト固有のモデルを調整し、リスク検出を改善できます。

また、ウェブサイトのユーザーアカウントと支払いワークフローを保護するために、追加のセキュリティを設定することもできます。

手順については、ウェブサイトに reCAPTCHA を設定するをご覧ください。

次の図では、モバイルアプリでの reCAPTCHA の実装の概要を示します。

モバイルアプリの実装ワークフローを示すワークフロー図

モバイルアプリに reCAPTCHA を設定する手順は次のとおりです。

reCAPTCHA キーの作成: モバイルアプリ用のスコアベースのキーを作成します。
モバイルアプリと統合する: ユーザーアクションに関する情報を収集して reCAPTCHA に送信するには、作成したキーを reCAPTCHA SDK を使用してモバイルアプリにインストールします。
バックエンドと統合する: バックエンドサーバーから評価を作成し、reCAPTCHA から送信されたトークンを検証して、リスクを評価します。評価スコアと関連するリスクを解釈し、ユーザーの処理方法を定義します。たとえば、スコアが高い（リスクが低いことを示す）場合にのみユーザーがログインできるようにします。

また、モバイルアプリのユーザーアカウントを保護するために、追加のセキュリティを設定することもできます。

次の図では、WAF レイヤでの reCAPTCHA の実装の概要を示します。

WAF の実装ワークフローを示すワークフロー図

次の手順で、WAF レイヤで reCAPTCHA を設定します。

WAF 機能を選択する: WAF の機能を理解し、ユースケースに適した WAF 機能を 1 つ以上選択します。
ウェブサイトまたはモバイルアプリと統合する: WAF 用 reCAPTCHA キーを作成します。ユーザーアクションに関する情報を収集して reCAPTCHA に送信するには、作成したキーを reCAPTCHA JavaScript API を使用してウェブページにインストールするか、reCAPTCHA SDK を使用してモバイルアプリにインストールします。
WAF サービスプロバイダと統合する: WAF サービスプロバイダが受信したユーザーリクエストを管理できるようにするには、reCAPTCHA から返されたスコアに基づいてポリシーを構成します。

手順については、WAF レイヤに reCAPTCHA を設定するをご覧ください。

次の図では、アプリケーションサーバーでの reCAPTCHA express の実装の概要を示します。

アプリケーションサーバーの実装ワークフローを示すワークフロー図

アプリケーションサーバーで reCAPTCHA express を設定する手順は次のとおりです。

アプリケーションサーバーの express キーを作成します。
バックエンドと統合する: バックエンドサーバーから評価を作成し、リスクを評価します。評価スコアと関連するリスクを解釈し、ユーザーの処理方法を定義します。たとえば、スコアが高い（リスクが低いことを示す）場合にのみユーザーがログインできるようにします。