本页介绍了如何解读分数,以了解发生以下情况的风险等级: 用户交互姿态,并针对您的 网站。
reCAPTCHA 会根据与您的网站的互动情况为每个请求返回一个得分,无需考虑密钥类型。收到 您必须解读得分并采取适当措施 。
准备工作
解读评估
在后端将用户的 reCAPTCHA 响应令牌提交给 reCAPTCHA 后,您会收到 JSON 响应形式的评估,如以下示例所示。
如需解读评估,请考虑以下参数:
valid
:指示所提供的用户响应令牌是否有效。如果为valid = false
,则原因在invalidReason
中指定。valid = false
也可能表明用户未通过验证,siteKey
不匹配。invalidReason
:当valid = false
时与响应相关联的原因。action
:触发了 reCAPTCHA 验证的用户互动。expectedAction
:您在创建评估时指定的用户期望的操作。score
:用户互动产生的风险等级。reasons
:有关 reCAPTCHA 如何 如何解读用户互动{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
验证操作
JSON 响应包含您在调用 execute()
时为用户互动指定的 action
参数以及您在创建评估时指定的 expectedAction
参数。
验证 action
与 expectedAction
是否匹配。例如,系统应该在您的登录页面上返回 login
操作。如果存在不匹配,则表示攻击者正在尝试伪造操作。您可以对用户互动采取措施,例如添加其他验证手段或阻止互动以防发生任何欺诈活动。
解释得分
reCAPTCHA 的评分系统是从先前版本的 reCAPTCHA 扩展而来,能够更精细地进行响应。reCAPTCHA 的得分在 0.0 到 1.0 之间,有 11 个级别。1.0 分表示互动风险低,很可能是合法的,0.0 表示互动风险高,可能具有欺诈性。在向项目添加结算账号以触发自动安全审核之前,只有以下四个得分级别可用:0.1、0.3、0.7 和 0.9。
如需请求访问 11 个得分级别,请添加结算账号 添加到您的项目中。
reCAPTCHA 通过检测您网站上的实际流量来进行学习。因此,预演环境和 7 天内实现的得分可能与长期生产环境的得分不同。
如果您安装了基于得分的密钥,可以先运行 在不采取措施的情况下进行 reCAPTCHA 验证,然后确定阈值, 查看路况信息
您可以根据该得分针对网站的相应环境采取适当的措施。为了更好地保护您的网站,我们建议您在后台执行此操作,而不是阻止流量。
下表列出了您可以执行的一些操作:
用例 | 操作 |
---|---|
首页 | 在滤除抄袭者的同时,在管理控制台中了解流量的整体情况。 |
login | 如果得分较低,则需要使用 MFA 或电子邮件验证,以防范凭据填充攻击。 |
social | 限制来自滥用用户的尚未回应的好友请求;发送有风险的评论以进行审核。 |
电子商务 | 避免漫游器接触到您的真实销售交易,并识别有风险的交易。 |
原因代码
向项目添加结算账号后,系统会触发自动安全审核,您就可以查看原因代码。申请对以下内容的访问权限: 原因代码,添加结算账号 添加到您的项目中。
一些得分可能会与相关的原因代码一起返回,原因代码提供与 reCAPTCHA 如何解读互动相关的额外信息。
下表列出了原因代码及其说明:
原因代码 | 说明 |
---|---|
AUTOMATION | 互动与自动代理的行为相匹配。 |
UNEXPECTED_ENVIRONMENT | 该事件由非法环境引发。 |
TOO_MUCH_TRAFFIC | 来自事件源的数据流量高于正常水平。 |
UNEXPECTED_USAGE_PATTERNS | 与您的网站的互动与预期模式存在着很大差异。 |
LOW_CONFIDENCE_SCORE | 来自此网站的流量过少,无法生成质量风险分析。 |
后续步骤
- 要微调您的网站专属模型,您可以将评估 ID 发送回 Google 以确认真正例和真负例,或更正错误。如需了解详情,请参阅为评估添加注释。