Esta página explica como interpretar uma pontuação para compreender o nível de risco que as interações dos utilizadores representam e tomar as medidas adequadas para a sua aplicação para dispositivos móveis.
O reCAPTCHA devolve uma pontuação para cada pedido com base nas interações com a sua aplicação para dispositivos móveis. Depois de receber a pontuação do reCAPTCHA, tem de interpretar a pontuação e tomar as medidas adequadas para a sua aplicação para dispositivos móveis.
Antes de começar
Crie uma avaliação para a sua aplicação para dispositivos móveis.
Interprete a avaliação
Depois de o back-end enviar um token de resposta do reCAPTCHA de um utilizador para o reCAPTCHA, recebe uma avaliação como resposta JSON, conforme mostrado no exemplo seguinte.
Para interpretar uma avaliação, considere os seguintes parâmetros:
valid: indica se o token de resposta do utilizador fornecido é válido. Quandovalid = false, o motivo é especificado eminvalidReason.valid = falsetambém pode indicar que um utilizador não conseguiu resolver um desafio ou que existe umasitekeyincompatibilidade.invalidReason: motivo associado à resposta quandovalid = false.action: uma interação do utilizador que acionou a validação reCAPTCHA.expectedAction: a ação esperada de um utilizador que especificou quando criou a avaliação.score: nível de risco que a interação do utilizador representa.reasons: informações adicionais sobre a forma como o reCAPTCHA interpretou a interação do utilizador.Os códigos de motivo estão disponíveis depois de acionar uma revisão de segurança automática ao adicionar uma conta de faturação ao seu projeto. Para pedir acesso aos códigos de motivo, adicione uma conta de faturação ao seu projeto.
{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Valide ações
A resposta JSON contém o parâmetro action que especificou para uma interação do utilizador quando chamou execute() e o parâmetro expectedAction que especificou quando criou a avaliação.
Verifique se action corresponde a expectedAction.
Por exemplo, uma ação login deve ser devolvida na sua página de início de sessão.
Se existir uma incompatibilidade, indica que um atacante está a tentar falsificar ações. Pode tomar medidas contra a interação do utilizador, como adicionar validações adicionais ou bloquear a interação para evitar atividades fraudulentas.
Interprete as pontuações
O sistema de pontuação do reCAPTCHA é uma expansão das versões anteriores do reCAPTCHA para permitir uma maior granularidade nas respostas. O reCAPTCHA tem 11 níveis para pontuações com valores que variam de 0,0 a 1,0. A pontuação 1,0 indica que a interação representa um risco baixo e é muito provavelmente legítima, enquanto 0,0 indica que a interação representa um risco elevado e pode ser fraudulenta. Dos 11 níveis, apenas os quatro níveis de pontuação seguintes estão disponíveis antes de acionar uma revisão de segurança automática adicionando uma conta de faturação ao seu projeto: 0,1, 0,3, 0,7 e 0,9.
Para pedir acesso a 11 níveis de pontuação, adicione uma conta de faturação ao seu projeto.
O reCAPTCHA aprende monitorizando o tráfego real na sua aplicação para dispositivos móveis. Por conseguinte, as pontuações num ambiente de teste e no prazo de 7 dias após a implementação podem diferir das pontuações de produção a longo prazo.
Uma vez que as chaves do reCAPTCHA para aplicações para dispositivos móveis não interrompem o fluxo do utilizador, pode executar primeiro o reCAPTCHA sem tomar medidas e, em seguida, decidir sobre os limites analisando o tráfego.
Com base na pontuação, pode tomar uma medida adequada no contexto da sua aplicação para dispositivos móveis. Para proteger melhor a sua aplicação para dispositivos móveis, recomendamos que execute a ação em segundo plano em vez de bloquear o tráfego.
A tabela seguinte apresenta algumas das ações que pode realizar:
| Exemplo de utilização | Ação |
|---|---|
| login | Com pontuações baixas, exija a MFA ou a validação de email para evitar ataques de preenchimento de credenciais. |
| social | Limitar pedidos de amizade não respondidos de utilizadores abusivos e enviar comentários arriscados para moderação. |
| comércio eletrónico | Priorize as vendas reais em relação aos bots e identifique transações arriscadas. |
Códigos do motivo
Os códigos de motivo estão disponíveis depois de acionar uma revisão de segurança automática através da adição de uma conta de faturação. Para pedir acesso aos códigos de motivo, adicione uma conta de faturação ao seu projeto.
Algumas pontuações podem ser devolvidas com códigos de motivo que fornecem informações adicionais sobre a forma como o reCAPTCHA interpretou as interações.
A tabela seguinte lista os códigos de motivo e as respetivas descrições:
| Código do motivo | Descrição |
|---|---|
| AUTOMATIZAÇÃO | A interação corresponde ao comportamento de um agente automático. |
| UNEXPECTED_ENVIRONMENT | O evento teve origem num ambiente ilegítimo. |
| TOO_MUCH_TRAFFIC | O volume de tráfego da origem do evento é superior ao normal. |
| UNEXPECTED_USAGE_PATTERNS | A interação com o seu site foi significativamente diferente dos padrões esperados. |
| LOW_CONFIDENCE_SCORE | Foi recebido muito pouco tráfego deste site para gerar uma análise de risco de qualidade. |
O que se segue?
- Para otimizar o modelo específico do site, pode enviar os IDs de avaliação de volta para a Google para confirmar os verdadeiros positivos e os verdadeiros negativos, ou corrigir erros. Para obter detalhes, consulte o artigo Anote avaliações.