此页面由 Cloud Translation API 翻译。

解读网站的评估

本页介绍了如何解读得分，以了解用户互动的潜在风险等级，并对您的网站采取适当的措施。

reCAPTCHA 会根据与您的网站的互动情况为每个请求返回一个得分，无需考虑密钥类型。从 reCAPTCHA 收到得分后，您必须解读该得分，然后对您的网站采取适当措施。

准备工作

为您的网站创建评估。

解读评估

在后端将用户的 reCAPTCHA 响应令牌提交给 reCAPTCHA 后，您会收到 JSON 响应形式的评估，如以下示例所示。

如需解读评估，请考虑以下参数：

valid：表示所提供的用户回答令牌是否有效。如果值为 valid = false，则原因在 invalidReason 中指定。valid = false 也可能表示用户未能通过验证，或者存在 siteKey 不一致的情况。
invalidReason：当 valid = false 时与响应关联的原因。
action：触发了 reCAPTCHA 验证的用户互动。
expectedAction：您在创建评估时指定的用户期望的操作。
score：用户互动带来的风险等级。
reasons：关于 reCAPTCHA 如何解读用户互动的其他信息。

challenge（预览版）：表示基于政策的挑战密钥的挑战响应。可能的值：PASS、FAIL 或 NOCAPTCHA。

{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"KEY_ID",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "riskAnalysis":{
   "reasons":[],
   "score":"SCORE"
   "challenge":"PASS"
 },
 "tokenProperties":{
   "action":"USER_INTERACTION",
   "createTime":"TIMESTAMP",
   "hostname":"HOSTNAME",
   "invalidReason":"(ENUM)",
   "valid":(BOOLEAN)
 }
}

验证操作

JSON 响应包含您在调用 execute() 时为用户互动指定的 action 参数以及您在创建评估时指定的 expectedAction 参数。

验证 action 与 expectedAction 是否匹配。例如，系统应该在您的登录页面上返回 login 操作。如果存在不匹配，则表示攻击者正在尝试伪造操作。您可以对用户互动采取措施，例如添加其他验证手段或阻止互动以防发生任何欺诈活动。

解释得分

reCAPTCHA 的评分系统是从先前版本的 reCAPTCHA 扩展而来，能够更精细地进行响应。reCAPTCHA 的得分在 0.0 到 1.0 之间，有 11 个级别。1.0 分表示互动风险低，很可能是合法的，0.0 表示互动风险高，可能具有欺诈性。

在为项目添加结算账号以触发自动安全审核之前，只有以下四个得分级别可用：0.1、0.3、0.7 和 0.9。

如需请求访问 11 个得分级别，请向您的项目添加结算账号。

与 reCAPTCHA 全局风险得分相比，reCAPTCHA SMS defense 风险得分的运作方式相反。reCAPTCHA 短信话费欺诈防护风险得分为 0.0 表示发生短信话费欺诈的置信度较低；风险得分为 1.0 表示发生短信话费欺诈的置信度较高。

reCAPTCHA 通过检测您网站上的实际流量来进行学习。因此，预演环境和 7 天内实现的得分可能与长期生产环境的得分不同。

如果您安装了基于得分的密钥，可以先运行 reCAPTCHA 而不采取任何措施，然后通过查看流量来确定阈值。

您可以根据该得分针对网站的相应环境采取适当的措施。为了更好地保护您的网站，我们建议您在后台执行此操作，而不是阻止流量。

下表列出了您可以执行的一些操作：

用例	操作
首页	在滤除抄袭者的同时，在管理控制台中了解流量的整体情况。
login	如果得分较低，则需要使用 MFA 或电子邮件验证，以防范凭据填充攻击。
social	限制来自滥用用户的尚未回应的好友请求；发送有风险的评论以进行审核。
电子商务	避免漫游器接触到您的真实销售交易，并识别有风险的交易。

原因代码

在您向项目添加结算账号后，系统会触发自动安全审核，之后您便可以查看原因代码。如需请求访问原因代码，请为您的项目添加结算账号。

一些得分可能会与相关的原因代码一起返回，原因代码提供与 reCAPTCHA 如何解读互动相关的额外信息。

下表列出了原因代码及其说明：

原因代码	说明
AUTOMATION	互动与自动代理的行为相匹配。
UNEXPECTED_ENVIRONMENT	该事件由非法环境引发。
TOO_MUCH_TRAFFIC	来自事件源的数据流量高于正常水平。
UNEXPECTED_USAGE_PATTERNS	与您的网站的互动与预期模式存在着很大差异。
LOW_CONFIDENCE_SCORE	来自此网站的流量过少，无法生成质量风险分析。

siteverify 方法的响应

使用 siteverify 方法创建评估时，该方法会返回一个包含以下字段的 JSON 对象：

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

后续步骤

要微调您的网站专属模型，您可以将评估 ID 发送回 Google 以确认真正例和真负例，或更正错误。如需了解详情，请参阅为评估添加注释。