Dokumen ini membantu Anda memahami fitur reCAPTCHA Enterprise untuk WAF dan menentukan fitur mana yang paling cocok dengan kasus penggunaan Anda.
reCAPTCHA Enterprise untuk WAF menawarkan fitur berikut yang dapat Anda gunakan untuk berintegrasi dengan penyedia layanan firewall aplikasi web (WAF):
- Token tindakan reCAPTCHA
- token sesi reCAPTCHA
- Halaman tantangan reCAPTCHA
- Perlindungan ekspres reCAPTCHA WAF
Ringkasan fitur
Tabel berikut menampilkan perbandingan singkat token tindakan reCAPTCHA, token sesi reCAPTCHA, halaman tantangan reCAPTCHA, dan perlindungan ekspres reCAPTCHA WAF:
Kategori perbandingan | Token tindakan reCAPTCHA | Token sesi reCAPTCHA | Halaman tantangan reCAPTCHA | perlindungan ekspres reCAPTCHA WAF |
---|---|---|---|---|
Kasus penggunaan | Gunakan token tindakan reCAPTCHA untuk melindungi tindakan pengguna, seperti login atau postingan komentar. | Gunakan token sesi reCAPTCHA untuk melindungi seluruh sesi pengguna di domain situs. | Gunakan halaman tantangan reCAPTCHA jika Anda mencurigai adanya aktivitas spam yang diarahkan ke situs Anda dan Anda harus menyaring bot.
Metode ini mengganggu aktivitas pengguna karena pengguna harus memverifikasi tantangan CAPTCHA. |
Gunakan perlindungan ekspres reCAPTCHA WAF jika lingkungan Anda tidak mendukung integrasi JavaScript reCAPTCHA atau SDK seluler. |
Platform yang didukung | Situs dan aplikasi seluler | Websites | Websites | API, situs, aplikasi seluler, dan perangkat IoT seperti TV dan konsol game |
Upaya integrasi | Sedang
Integrasi mengharuskan Anda melakukan hal berikut:
|
Sedang
Integrasi mengharuskan Anda melakukan hal berikut:
|
Rendah
Integrasi mengharuskan Anda mengonfigurasi aturan kebijakan keamanan untuk Google Cloud Armor atau kebijakan firewall reCAPTCHA untuk penyedia layanan WAF pihak ketiga. |
Rendah
Integrasi mengharuskan Anda mengonfigurasi perlindungan ekspres reCAPTCHA WAF dengan penyedia layanan WAF atau membuat permintaan dari server aplikasi Anda ke reCAPTCHA Enterprise. |
Akurasi deteksi | Tertinggi
Token tindakan melindungi tindakan pengguna individual. |
Tinggi
Token sesi melindungi seluruh sesi pengguna di domain situs. |
Sedang
Proses ini melibatkan pengalihan ke halaman tantangan reCAPTCHA, yang mungkin tidak menerima semua sinyal khusus halaman. Akibatnya, deteksi bot mungkin kurang akurat. |
Rendah
Sinyal sisi klien tidak tersedia. |
Versi reCAPTCHA yang didukung | Kunci kotak centang dan berbasis skor reCAPTCHA Enterprise | Kunci berbasis skor reCAPTCHA Enterprise | Halaman tantangan reCAPTCHA menggunakan versi reCAPTCHA yang dioptimalkan untuk meminimalkan integrasi. | Kunci berbasis skor reCAPTCHA Enterprise |
Anda dapat menggunakan satu atau beberapa fitur reCAPTCHA Enterprise untuk WAF dalam satu aplikasi. Misalnya, Anda dapat memilih untuk menerapkan token sesi untuk semua halaman, dan berdasarkan skor token sesi, Anda dapat mengalihkan permintaan yang mencurigakan ke halaman tantangan reCAPTCHA. Selain itu, Anda dapat menggunakan token tindakan untuk tindakan profil tinggi, seperti checkout. Untuk informasi selengkapnya, lihat contoh.
Token tindakan reCAPTCHA
Anda dapat menggunakan token tindakan reCAPTCHA untuk melindungi interaksi pengguna yang penting, seperti checkout di halaman web dan di aplikasi seluler.
Alur kerja token tindakan reCAPTCHA terdiri dari langkah-langkah berikut:
- Saat pengguna akhir memicu tindakan yang dilindungi oleh reCAPTCHA Enterprise, halaman web atau aplikasi seluler akan mengirimkan sinyal yang dikumpulkan di browser ke reCAPTCHA Enterprise untuk dianalisis.
- reCAPTCHA Enterprise mengirimkan token tindakan ke halaman web atau aplikasi seluler.
- Anda melampirkan token tindakan ini ke header permintaan yang ingin dilindungi.
- Saat pengguna akhir meminta akses dengan token tindakan, penyedia layanan WAF akan mendekode dan memvalidasi atribut token tindakan, bukan aplikasi backend Anda.
- Penyedia layanan WAF menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall Anda yang dikonfigurasi, mana saja yang berlaku.
Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk situs:
Google Cloud Armor
Penyedia layanan WAF pihak ketiga
Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk aplikasi seluler:
Token sesi reCAPTCHA
Anda dapat menggunakan token sesi reCAPTCHA jika ingin melindungi seluruh sesi pengguna di domain situs. Dengan token sesi, Anda dapat menggunakan kembali penilaian reCAPTCHA Enterprise yang ada untuk periode tertentu, sehingga tidak ada penilaian lebih lanjut yang diperlukan untuk pengguna tertentu, sehingga mengurangi friksi pengguna, dan total panggilan reCAPTCHA yang diperlukan.
Agar reCAPTCHA Enterprise dapat mempelajari pola penjelajahan pengguna akhir Anda, sebaiknya gunakan token sesi reCAPTCHA di semua halaman web situs Anda.
Alur kerja token sesi reCAPTCHA terdiri dari langkah-langkah berikut:
- Browser memuat JavaScript reCAPTCHA dari reCAPTCHA Enterprise.
- JavaScript reCAPTCHA menetapkan token sesi sebagai cookie di browser pengguna akhir setelah penilaian.
- Browser pengguna akhir menyimpan cookie dan JavaScript reCAPTCHA memperbarui cookie setiap 30 menit selama JavaScript reCAPTCHA tetap aktif.
- Saat pengguna meminta akses dengan cookie, penyedia layanan WAF akan memvalidasi cookie ini dan menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall.
Diagram urutan berikut menunjukkan alur kerja token sesi reCAPTCHA:
Google Cloud Armor
Penyedia layanan WAF pihak ketiga
Halaman tantangan reCAPTCHA
Anda dapat menggunakan fitur halaman tantangan reCAPTCHA untuk mengalihkan permintaan masuk ke reCAPTCHA Enterprise untuk menentukan apakah setiap permintaan berpotensi menipu atau sah.
Penerapan pengalihan dan kemungkinan verifikasi CAPTCHA ini akan mengganggu aktivitas pengguna. Sebaiknya gunakan fitur ini untuk menyaring bot jika Anda mencurigai adanya aktivitas spam yang diarahkan ke situs Anda.
Saat pengguna akhir (pengguna) mengunjungi situs Anda untuk pertama kalinya, peristiwa berikut akan terjadi:
- Pada lapisan WAF, permintaan pengguna dialihkan ke halaman tantangan reCAPTCHA Enterprise.
- reCAPTCHA Enterprise merespons dengan halaman HTML yang disematkan dengan JavaScript reCAPTCHA.
- Saat halaman tantangan dirender, reCAPTCHA Enterprise menilai interaksi pengguna. Jika perlu, reCAPTCHA Enterprise akan memberikan verifikasi CAPTCHA kepada pengguna.
Bergantung pada hasil penilaian, reCAPTCHA Enterprise melakukan hal berikut:
- Jika interaksi pengguna lulus penilaian, reCAPTCHA Enterprise akan mengeluarkan cookie pengecualian. Browser melampirkan cookie pengecualian ini ke permintaan berikutnya oleh pengguna ke situs yang sama hingga cookie berakhir. Secara default, masa berlaku cookie pengecualian berakhir setelah tiga jam.
- Jika interaksi pengguna tidak lulus penilaian, reCAPTCHA Enterprise tidak akan mengeluarkan cookie pengecualian.
reCAPTCHA Enterprise memuat ulang halaman web dengan cookie pengecualian jika pengguna mengakses halaman web menggunakan panggilan GET/HEAD. Jika pengguna mengakses halaman web menggunakan panggilan POST/PUT, pengguna harus mengklik link muat ulang di halaman.
Penyedia layanan WAF mengecualikan permintaan yang memiliki cookie pengecualian yang valid agar tidak dialihkan lagi dan memberikan akses ke situs Anda.
Diagram urutan berikut menunjukkan alur kerja halaman tantangan reCAPTCHA:
Google Cloud Armor
Penyedia layanan WAF pihak ketiga
perlindungan ekspres reCAPTCHA WAF
Anda dapat menggunakan perlindungan ekspres reCAPTCHA WAF (reCAPTCHA WAF Express) untuk melindungi aplikasi Anda di lingkungan yang tidak mendukung pengoperasian reCAPTCHA JavaScript atau SDK seluler native, misalnya, perangkat IoT dan dekoder. Anda dapat menyiapkan reCAPTCHA WAF Express di lapisan WAF dengan penyedia layanan WAF atau di lingkungan mandiri pada server aplikasi. reCAPTCHA WAF Express hanya menggunakan sinyal backend untuk menghasilkan skor risiko reCAPTCHA.
Alur kerja reCAPTCHA WAF Express terdiri dari langkah-langkah berikut:
- Saat pengguna meminta akses untuk halaman web, penyedia layanan WAF atau server aplikasi akan membuat permintaan penilaian ke reCAPTCHA Enterprise.
- reCAPTCHA Enterprise menilai interaksi pengguna dan mengirimkan skor risiko.
- Berdasarkan skor risiko tersebut, penyedia layanan WAF atau server aplikasi akan mengizinkan atau memblokir akses tersebut.
Diagram urutan berikut menunjukkan alur kerja ekspres reCAPTCHA WAF:
Langkah selanjutnya
- Pelajari atribut token untuk Google Cloud Armor.
- Integrasikan reCAPTCHA Enterprise untuk WAF dengan Google Cloud Armor di situs.
- Integrasikan reCAPTCHA Enterprise untuk WAF dengan Google Cloud Armor di aplikasi seluler.
- Pelajari atribut token untuk Fastly.
- Integrasikan reCAPTCHA Enterprise untuk WAF dengan Fastly.
- Menyiapkan perlindungan ekspres reCAPTCHA WAF di server aplikasi.