Questo documento ti aiuta a comprendere le funzionalità di reCAPTCHA per Google Cloud Armor e a determinare quale funzionalità corrisponde meglio al tuo caso d'uso.
reCAPTCHA offre le seguenti funzionalità che puoi utilizzare per l'integrazione con Google Cloud Armor:
Panoramica delle funzioni
reCAPTCHA per le integrazioni di Google Cloud Armor supporta token di azione, token di sessione, pagina di verifica e reCAPTCHA Express
Puoi utilizzare una o più funzionalità di reCAPTCHA per Google Cloud Armor in una singola applicazione. Ad esempio, puoi scegliere di applicare un token di sessione a tutte le pagine e, in base al punteggio del token di sessione, puoi reindirizzare le richieste sospette alla pagina di verifica reCAPTCHA. Inoltre, puoi utilizzare un token azione per azioni di alto profilo, ad esempio il pagamento. Per saperne di più, consulta gli esempi.
La seguente tabella mostra un breve confronto delle funzionalità di reCAPTCHA per Google Cloud Armor disponibili:
| Categoria di confronto | Token di azione reCAPTCHA | reCAPTCHA session-tokens | Pagina della verifica reCAPTCHA | reCAPTCHA express |
|---|---|---|---|---|
| Caso d'uso | Utilizzalo per proteggere le azioni degli utenti, ad esempio l'accesso o i commenti ai post. | Utilizza per proteggere l'intera sessione utente sul dominio del sito. | Utilizza questa opzione quando sospetti attività di spam indirizzate al tuo sito e devi
escludere i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare un test CAPTCHA. |
Utilizza reCAPTCHA Express quando il tuo ambiente non supporta l'integrazione di reCAPTCHA JavaScript o degli SDK mobile. |
| Piattaforme supportate | Siti web e applicazioni mobile | Siti web | Siti web | Tutte le richieste HTTP. Inclusi: API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi |
| Sforzo di integrazione del client | Medio
Integrazione manuale lato client. |
Medio
Installa JavaScript di reCAPTCHA manualmente o tramite l'inserimento nel WAF. |
Bassa
Interstiziale attivato dai criteri di sicurezza. |
Bassa
Nessuna integrazione client. |
| Precisione del rilevamento | Massima
Sono disponibili segnali specifici per client, server e azioni. |
Alta
Sono disponibili segnali specifici per client e server. |
Medio
Sono disponibili segnali specifici per client e server. Gli indicatori lato client sono disponibili solo in una pagina interstitial. |
Bassa
Sono disponibili solo indicatori lato server. |
| Versione reCAPTCHA supportata | Chiavi reCAPTCHA basate sul punteggio e con casella di controllo | Chiavi reCAPTCHA basate sul punteggio | Chiavi basate su sfide reCAPTCHA incorporate in una pagina interstitial | Chiavi reCAPTCHA Express |
Token di azione reCAPTCHA
Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, come il pagamento nelle pagine web e nelle applicazioni mobile.
Il flusso di lavoro dei token di azione reCAPTCHA prevede i seguenti passaggi:
- Quando un utente finale attiva un'azione protetta da reCAPTCHA, la pagina web o l'applicazione mobile invia segnali che vengono raccolti nel browser e inviati a reCAPTCHA per l'analisi.
- reCAPTCHA invia un token di azione alla pagina web o all'applicazione mobile.
- Questo token di azione viene allegato all'intestazione della richiesta che vuoi proteggere.
- Quando l'utente finale richiede l'accesso con il token di azione, Google Cloud Armor decodifica e convalida gli attributi del token di azione anziché la tua applicazione di backend.
- Google Cloud Armor applica le azioni in base alle regole dei criteri di sicurezza configurate.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per i siti web:
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per le applicazioni mobile:
reCAPTCHA session-tokens
Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente sul dominio del sito. Un token di sessione ti consente di riutilizzare una test reCAPTCHA esistente per un periodo di tempo specificato, in modo che non siano necessarie ulteriori valutazioni per un determinato utente, riducendo l'attrito per l'utente e il numero totale di chiamate reCAPTCHA richieste.
Per consentire a reCAPTCHA di conoscere il pattern di navigazione dei tuoi utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.
Il flusso di lavoro dei token di sessione reCAPTCHA prevede i seguenti passaggi:
- Il browser carica il file JavaScript di reCAPTCHA da reCAPTCHA.
- Dopo la valutazione, il codice JavaScript reCAPTCHA imposta un token di sessione come cookie nel browser dell'utente finale.
- Il browser dell'utente finale memorizza il cookie e reCAPTCHA JavaScript aggiorna il cookie ogni 30 minuti finché reCAPTCHA JavaScript rimane attivo.
- Quando l'utente richiede l'accesso con il cookie, Google Cloud Armor lo convalida e applica le azioni in base alle regole dei criteri di sicurezza.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:
Pagina della verifica reCAPTCHA
Puoi utilizzare la funzionalità della pagina di verifica reCAPTCHA per reindirizzare le richieste in entrata a reCAPTCHA per determinare se ogni richiesta è potenzialmente fraudolenta o legittima.
Questa applicazione di un reindirizzamento e di un possibile test CAPTCHA interrompe l'attività di un utente. Ti consigliamo di utilizzarlo per escludere i bot quando sospetti attività di spam indirizzate al tuo sito.
Quando un utente finale (utente) visita il tuo sito per la prima volta, si verificano i seguenti eventi:
- A livello di Google Cloud Armor, la richiesta dell'utente viene reindirizzata alla pagina della sfida reCAPTCHA.
- reCAPTCHA risponde con una pagina HTML incorporata con il JavaScript reCAPTCHA.
- Quando viene visualizzata la pagina della richiesta di verifica, reCAPTCHA valuta l'interazione dell'utente. Se necessario, reCAPTCHA propone all'utente un test CAPTCHA.
A seconda del risultato del test, reCAPTCHA esegue le seguenti operazioni:
- Se l'interazione utente supera il test, reCAPTCHA emette un cookie di esenzione. Il browser allega questo cookie di esenzione alle richieste successive dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo tre ore.
- Se l'interazione dell'utente non supera il test, reCAPTCHA non rilascia un cookie di esenzione.
reCAPTCHA ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, deve fare clic sul link di ricarica nella pagina.
Google Cloud Armor esenta le richieste che hanno un cookie di esenzione valido dal reindirizzamento e concede l'accesso al tuo sito.
Il seguente diagramma di sequenza mostra il flusso di lavoro della pagina del test reCAPTCHA:
Passaggi successivi
- Scopri di più sugli attributi del token per Cloud Armor.
- Integra reCAPTCHA con Cloud Armor sui siti web.
- Integra reCAPTCHA con Cloud Armor nelle applicazioni mobile.