In diesem Dokument werden die Funktionen von reCAPTCHA für Google Cloud Armor erläutert. Außerdem erfahren Sie, welche Funktion am besten zu Ihrem Anwendungsfall passt.
reCAPTCHA bietet die folgenden Funktionen, die Sie für die Integration in Google Cloud Armor verwenden können:
Übersicht über die Funktionen
reCAPTCHA für Google Cloud Armor-Integrationen unterstützt Aktionstokens, Sitzungstokens, die Herausforderungsseite und reCAPTCHA Express.
Sie können ein oder mehrere reCAPTCHA for Google Cloud Armor-Funktionen in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.
Die folgende Tabelle enthält einen kurzen Vergleich der verfügbaren reCAPTCHA-Funktionen für Google Cloud Armor:
| Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | reCAPTCHA Express |
|---|---|---|---|---|
| Anwendungsfall | Wird verwendet, um Nutzeraktionen wie Anmelden oder Beiträge kommentieren zu schützen. | Damit können Sie die gesamte Nutzersitzung auf der Domain der Website schützen. | Verwenden Sie diese Option, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden und Sie Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung des reCAPTCHA-JavaScript oder der Mobile SDKs nicht unterstützt. |
| Unterstützte Plattformen | Websites und mobile Apps | Websites | Websites | Alle HTTP-Anfragen. Dazu gehören APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen. |
| Aufwand für die Clientintegration | Mittel
Manuelle clientseitige Integration |
Mittel
Installieren Sie das reCAPTCHA-JavaScript manuell oder durch Einfügen in die WAF. |
Niedrig
Interstitial, das durch Sicherheitsrichtlinien ausgelöst wird. |
Niedrig
Keine Clientintegration. |
| Erkennungsgenauigkeit | Highest
Es sind client-, server- und aktionsspezifische Signale verfügbar. |
Hoch
Es sind client- und serverspezifische Signale verfügbar. |
Mittel
Es sind client- und serverspezifische Signale verfügbar. Clientsignale sind nur auf einer Interstitials-Seite verfügbar. |
Niedrig
Es sind nur serverseitige Signale verfügbar. |
| Unterstützte reCAPTCHA-Version | Auf Punktzahlen basierende reCAPTCHA-Schlüssel und Kästchen | Auf Punktzahlen basierende reCAPTCHA-Schlüssel | Aufgabenbasierte reCAPTCHA-Schlüssel, die in eine Interstitials-Seite eingebettet sind | reCAPTCHA Express-Schlüssel |
reCAPTCHA-Aktionstokens
Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen wie den Bezahlvorgang auf Webseiten und in mobilen Anwendungen zu schützen.
Der Workflow für reCAPTCHA-Aktions-Tokens umfasst folgende Schritte:
- Wenn ein Endnutzer eine durch reCAPTCHA geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser gesammelt werden, zur Analyse an reCAPTCHA.
- reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
- Sie hängen dieses Aktionstoken an den Header der zu schützenden Anfrage an.
- Wenn der Endnutzer Zugriff mit dem Aktionstoken anfordert, decodiert und validiert Google Cloud Armor die Aktionstoken-Attribute anstelle Ihrer Backend-Anwendung.
- Google Cloud Armor wendet Aktionen gemäß Ihrer konfigurierten Sicherheitsrichtlinienregeln an.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für Websites:
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für mobile Anwendungen:
reCAPTCHA-Sitzungstoken
Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen erforderlich sind. Dadurch wird die Beeinträchtigung der Nutzer und die Gesamtzahl der erforderlichen reCAPTCHA-Aufrufe reduziert.
Damit reCAPTCHA das Browsermuster Ihrer Endnutzer kennenlernen kann, empfehlen wir, ein reCAPTCHA-Sitzungstoken auf allen Webseiten Ihrer Website zu verwenden.
Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:
- Der Browser lädt das reCAPTCHA-JavaScript von reCAPTCHA.
- Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers fest.
- Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA-JavaScript aktiv ist, alle 30 Minuten aktualisiert.
- Fordert der Nutzer Zugriff mit dem Cookie an, so validiert Google Cloud Armor dieses Cookie und führt Aktionen basierend auf den Sicherheitsrichtlinienregeln aus.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Sitzungstoken-Workflow:
reCAPTCHA-Abfrageseite
Mit der Funktion „reCAPTCHA-Herausforderung“ können Sie eingehende Anfragen an reCAPTCHA weiterleiten, um festzustellen, ob jede Anfrage potenziell betrügerisch oder legitim ist.
Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.
Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal aufruft, finden folgende Ereignisse statt:
- Auf der Google Cloud Armor-Ebene wird die Nutzeranfrage an die reCAPTCHA-Herausforderungsseite weitergeleitet.
- reCAPTCHA antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
- Wenn die Abfrageseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA dem Nutzer eine CAPTCHA-Aufgabe bereit.
Je nach Ergebnis des Assessments führt reCAPTCHA folgende Schritte aus:
- Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
- Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA kein Ausnahme-Cookie aus.
reCAPTCHA lädt die Webseite mit dem Ausnahme-Cookie neu, wenn der Nutzer mit einem GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.
Google Cloud Armor schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Workflow auf der Seite für die Identitätsbestätigung:
Nächste Schritte
- Weitere Informationen zu den Tokenattributen für Cloud Armor
- reCAPTCHA in Cloud Armor auf Websites einbinden
- reCAPTCHA in Cloud Armor für mobile Anwendungen einbinden