解读移动应用的评估

本页介绍了如何解读得分,以了解用户互动的潜在风险等级,并对您的移动应用采取适当的措施。

reCAPTCHA 会根据与您的移动应用的互动情况为每个请求返回一个得分。从 reCAPTCHA 收到得分后,您必须解读该得分,然后对您的移动应用采取适当措施。

准备工作

为移动应用创建评估

解读评估

在后端将用户的 reCAPTCHA 响应令牌提交给 reCAPTCHA 后,您会收到 JSON 响应形式的评估,如以下示例所示。

如需解读评估,请考虑以下参数:

  • valid:指示所提供的用户响应令牌是否有效。如果为 valid = false,则原因在 invalidReason 中指定。valid = false 还可能表示用户未能解题或存在 sitekey 不匹配的情况。
  • invalidReason:当 valid = false 时与响应相关联的原因。
  • action:触发了 reCAPTCHA 验证的用户互动。
  • expectedAction:您在创建评估时指定的用户期望的操作。
  • score:用户互动产生的风险等级。
  • reasons:关于 reCAPTCHA 如何解读用户互动的其他信息。

    向项目添加结算账号后,系统会触发自动安全审核,您就可以查看原因代码。如需申请访问原因代码,请为您的项目添加结算账号

    {
     "event":{
        "expectedAction":"EXPECTED_ACTION",
        "hashedAccountId":"ACCOUNT_ID",
        "siteKey":"KEY_ID",
        "token":"TOKEN",
        "userAgent":"(USER-PROVIDED STRING)",
        "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
     },
     "name":"ASSESSMENT_ID",
     "riskAnalysis":{
       "reasons":[],
       "score":"SCORE"
     },
     "tokenProperties":{
       "action":"USER_INTERACTION",
       "createTime":"TIMESTAMP",
       "hostname":"HOSTNAME",
       "invalidReason":"(ENUM)",
       "valid":(BOOLEAN)
     }
    }

验证操作

JSON 响应包含您在调用 execute() 时为用户互动指定的 action 参数以及您在创建评估时指定的 expectedAction 参数。

验证 actionexpectedAction 是否匹配。例如,系统应该在您的登录页面上返回 login 操作。如果存在不匹配,则表示攻击者正在尝试伪造操作。您可以对用户互动采取措施,例如添加其他验证手段或阻止互动以防发生任何欺诈活动。

解释得分

reCAPTCHA 的评分系统是从先前版本的 reCAPTCHA 扩展而来,能够更精细地进行响应。reCAPTCHA 的得分在 0.0 到 1.0 之间,有 11 个级别。1.0 分表示互动风险低,很可能是合法的,0.0 表示互动风险高,可能具有欺诈性。在 11 个级别中,只有以下四个得分级别在您向项目添加结算账号后才会触发自动安全审核:0.1、0.3、0.7 和 0.9。

如需申请访问 11 个得分级别,请向您的项目添加结算账号

reCAPTCHA 通过监控移动应用中的实际流量来进行学习。因此,预演环境和 7 天内实现的得分可能与长期生产环境的得分不同。

由于适用于移动应用的 reCAPTCHA 密钥不会中断用户流,因此您可以先运行 reCAPTCHA,而无需执行操作,然后通过查看流量来确定阈值。

您可以根据该得分针对移动应用的相应环境采取适当的措施。为了更好地保护您的移动应用,我们建议您在后台执行此操作,而不是阻止流量。

下表列出了您可以执行的一些操作:

用例 操作
登录 如果得分较低,则需要使用 MFA 或电子邮件验证,以防范凭据填充攻击。
social 限制来自滥用用户的尚未回应的好友请求;发送有风险的评论以进行审核。
ecommerce 避免漫游器接触到您的真实销售交易,并识别有风险的交易。

原因代码

通过添加结算账号触发自动安全审核后,您就可以看到原因代码。如需请求访问原因代码,请为您的项目添加结算账号

一些得分可能会与相关的原因代码一起返回,原因代码提供与 reCAPTCHA 如何解读互动相关的额外信息。

下表列出了原因代码及其说明:

原因代码 说明
AUTOMATION 互动与自动代理的行为相匹配。
UNEXPECTED_ENVIRONMENT 该事件由非法环境引发。
TOO_MUCH_TRAFFIC 来自事件源的数据流量高于正常水平。
UNEXPECTED_USAGE_PATTERNS 与您的网站的互动与预期模式存在着很大差异。
LOW_CONFIDENCE_SCORE 来自此网站的流量过少,无法生成质量风险分析。

后续步骤

  • 要微调您的网站专属模型,您可以将评估 ID 发送回 Google 以确认真正例和真负例,或更正错误。如需了解详情,请参阅为评估添加注释