十多年来,Google 已使用 reCAPTCHA 为数以百万计的网站提供安全防护。reCAPTCHA Enterprise 基于现有的 reCAPTCHA API 构建而成,它使用高级风险分析技术来区分人类和机器人。借助 reCAPTCHA Enterprise,您可以保护您的网站或移动应用免受垃圾内容和滥用行为的侵扰,并检测网站上其他类型的欺诈活动,例如凭据填充、帐号盗用 (ATO) 和自动帐号创建。reCAPTCHA Enterprise 提供增强的检测功能,可提供更精细的分数、针对风险事件的原因代码、移动应用 SDK、密码泄露/泄露检测、针对企业特定模型的多重身份验证 (MFA),以及企业特定模型所需的多重身份验证 (MFA)。
何时使用 reCAPTCHA Enterprise
如果您希望保护网站或移动应用免受机器人的攻击,以及通过自动攻击或人为实施的滥用和欺诈行为,reCAPTCHA Enterprise 非常有用。
如需详细了解用例,请参阅 OWASP 自动威胁手册 - Web 应用。
reCAPTCHA Enterprise 的工作原理
在客户的环境中部署 reCAPTCHA Enterprise 后,它会与客户后端和客户的客户端(网页或移动应用)进行交互。
当最终用户访问网页或使用移动应用时,系统会按顺序触发以下事件:
- 客户端从客户后端加载网页或启动移动应用。
- 当最终用户触发受 reCAPTCHA Enterprise 保护的操作(例如登录)时,reCAPTCHA Enterprise JavaScript API 或客户端中的移动 SDK 会收集信号并将其发送给 reCAPTCHA Enterprise 以供分析。
- reCAPTCHA Enterprise 会将加密的 reCAPTCHA 令牌返回给客户端以供日后使用。
- 客户端将加密的 reCAPTCHA 令牌发送到客户后端进行评估。
- 客户后端将创建评估 (
assessments.create
) 请求和加密的 reCAPTCHA 令牌发送到 reCAPTCHA Enterprise。 - 完成评估后,reCAPTCHA Enterprise 会根据针对此请求评估的风险向客户后端返回判定结果(从 0.0 到 1.0 的分数以及原因代码)。
- 根据判定结果,您(作为开发者)可以确定针对特定用户请求或操作采取的后续步骤。
以下序列图显示了 reCAPTCHA Enterprise 工作流的图形表示: