Auf dieser Seite erfahren Sie, wie Sie einen Wert interpretieren, um das Risiko von Nutzerinteraktionen einzuschätzen und geeignete Maßnahmen für Ihre mobile Anwendung zu ergreifen.
reCAPTCHA gibt für jede Anfrage eine Punktzahl zurück, die auf den Interaktionen mit Ihrer mobilen Anwendung basiert. Nachdem Sie den Score von reCAPTCHA erhalten haben, müssen Sie ihn auswerten und die entsprechenden Maßnahmen für Ihre mobile Anwendung ergreifen.
Hinweise
Erstellen Sie eine Bewertung für Ihre mobile App.
Bewertung interpretieren
Nachdem Ihr Backend das reCAPTCHA-Antworttoken eines Nutzers an reCAPTCHA gesendet hat, erhalten Sie eine Bewertung als JSON-Antwort, wie im folgenden Beispiel gezeigt.
Berücksichtigen Sie bei der Interpretation einer Bewertung folgende Parameter:
valid
: Gibt an, ob das bereitgestellte Nutzerantworttoken gültig ist. Wennvalid = false
, wird der Grund ininvalidReason
angegeben.valid = false
kann auch darauf hinweisen, dass ein Nutzer eine Herausforderung nicht gelöst hat oder es einesitekey
-Abweichung gibt.invalidReason
: Grund für die Antwort, wennvalid = false
.action
: Eine Nutzerinteraktion, die die reCAPTCHA-Überprüfung ausgelöst hat.expectedAction
: Die erwartete Aktion des Nutzers, den Sie beim Erstellen der Bewertung angegeben haben.score
: Risikograd, der die Nutzerinteraktion darstellt.reasons
: Zusätzliche Informationen dazu, wie reCAPTCHA die Nutzerinteraktion interpretiert hat.Grundcodes sind verfügbar, nachdem Sie eine automatische Sicherheitsüberprüfung ausgelöst haben, indem Sie Ihrem Projekt ein Abrechnungskonto hinzugefügt haben. Wenn Sie Zugriff auf Grundcodes anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.
{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Aktionen prüfen
Die JSON-Antwort enthält den action
-Parameter, den Sie beim Aufrufen von execute()
für eine Nutzerinteraktion angegeben haben, und den expectedAction
-Parameter, den Sie beim Erstellen der Bewertung angegeben haben.
Prüfen Sie, ob action
mit expectedAction
übereinstimmt.
Beispiel: Eine login
-Aktion sollte auf Ihrer Anmeldeseite zurückgegeben werden.
Wenn es eine Abweichung gibt, bedeutet dies, dass ein Angreifer versucht, Aktionen zu fälschen. Sie können Aktionen gegen die Nutzerinteraktion ausführen, z. B. zusätzliche Bestätigungen hinzufügen oder die Interaktion blockieren, um betrügerische Aktivitäten zu verhindern.
Bewertungen interpretieren
Das Bewertungssystem von reCAPTCHA ist eine Erweiterung von früheren Versionen von reCAPTCHA, um eine höhere Genauigkeit bei Antworten zu ermöglichen. reCAPTCHA bietet 11 Grade für Punktzahlen mit Werten zwischen 0,0 und 1,0. Der Wert 1,0 gibt an, dass die Interaktion ein geringes Risiko darstellt und sehr wahrscheinlich legitim ist. 0,0 gibt jedoch an, dass die Interaktion ein hohes Risiko darstellt und betrügerisch sein kann. Von den 11 Graden sind nur die folgenden vier Punktzahl-Stufen verfügbar, bevor eine automatische Sicherheitsüberprüfung ausgelöst wird, wenn Sie Ihrem Projekt ein Abrechnungskonto hinzufügen: 0,1, 0,3, 0,7 und 0,9.
Wenn Sie Zugriff auf 11 Bewertungsstufen anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.
reCAPTCHA lernt durch das Überwachen des tatsächlichen Traffics in Ihrer mobilen Anwendung. Daher können die Werte in einer Staging-Umgebung und innerhalb von sieben Tagen nach der Implementierung von den langfristigen Produktionswerten abweichen.
Da reCAPTCHA-Schlüssel für mobile Anwendungen den Nutzerfluss nicht beeinträchtigen, können Sie reCAPTCHA zuerst ausführen, ohne Maßnahmen zu ergreifen, und dann anhand des Traffics Schwellenwerte festlegen.
Basierend auf der Punktzahl können Sie im Kontext Ihrer mobilen Anwendung geeignete Maßnahmen ergreifen. Um Ihre mobile App besser zu schützen, sollten Sie die Aktion im Hintergrund ausführen, statt den Traffic zu blockieren.
In folgender Tabelle sind einige der Aktionen aufgeführt, die Sie ausführen können:
Anwendungsfall | Aktion |
---|---|
Anmeldung | Bei niedrigen Punktzahlen ist eine Multi-Faktor-Authentifizierung oder eine E-Mail-Bestätigung erforderlich, um Credential Stuffing-Angriffe zu verhindern. |
social | Begrenzen Sie unbeantwortete Freundschaftsanfragen von missbräuchlichen Nutzern und senden Sie riskante Kommentare zur Moderation. |
ecommerce | Stellen Sie Ihren realen Umsatz vor Bots und identifizieren Sie riskante Transaktionen. |
Ursachencodes
Grundcodes sind verfügbar, nachdem Sie eine automatische Sicherheitsüberprüfung ausgelöst haben, indem Sie ein Abrechnungskonto hinzugefügt haben. Wenn Sie Zugriff auf Grundcodes anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.
Einige Ergebnisse werden möglicherweise mit Ursachencodes zurückgegeben, die zusätzliche Informationen dazu enthalten, wie reCAPTCHA die Interaktionen interpretiert hat.
In folgender Tabelle sind die Ursachencodes und ihre Beschreibungen aufgeführt:
Ursachencode | Beschreibung |
---|---|
AUTOMATION | Die Interaktion entspricht dem Verhalten eines automatisierten Agents. |
UNEXPECTED_ENVIRONMENT | Das Ereignis stammte aus einer unzulässigen Umgebung. |
TOO_MUCH_TRAFFIC | Das Trafficvolumen von der Ereignisquelle ist höher als normal. |
UNEXPECTED_USAGE_PATTERNS | Die Interaktion mit Ihrer Website weicht erheblich von den erwarteten Mustern ab. |
LOW_CONFIDENCE_SCORE | Von dieser Website wurde zu wenig Traffic empfangen, um eine qualitative Risikoanalyse zu erstellen. |
Nächste Schritte
- Wenn Sie Ihr website-spezifisches Modell optimieren möchten, können Sie die Bewertungs-IDs an Google zurückschicken, um echte positive und echte negative Ergebnisse zu bestätigen oder Fehler zu korrigieren. Weitere Informationen finden Sie unter Bewertungen annotieren.