Fitur untuk integrasi dengan penyedia layanan WAF

Dokumen ini membantu Anda memahami fitur reCAPTCHA untuk WAF dan menentukan fitur mana yang paling sesuai dengan kasus penggunaan Anda.

reCAPTCHA untuk WAF menawarkan fitur berikut yang dapat Anda gunakan untuk berintegrasi dengan penyedia layanan firewall aplikasi web (WAF):

Ringkasan fitur

Integrasi reCAPTCHA untuk WAF mendukung token tindakan, token sesi, halaman tantangan, dan reCAPTCHA Express

Anda dapat menggunakan satu atau beberapa fitur reCAPTCHA untuk WAF dalam satu aplikasi. Misalnya, Anda dapat memilih untuk menerapkan token sesi untuk semua halaman, dan berdasarkan skor token sesi, Anda dapat mengalihkan permintaan yang mencurigakan ke halaman tantangan reCAPTCHA. Selain itu, Anda dapat menggunakan token tindakan untuk tindakan penting, seperti checkout. Untuk mengetahui informasi selengkapnya, lihat contoh.

Tabel berikut menunjukkan perbandingan singkat fitur reCAPTCHA untuk WAF yang tersedia:

Kategori perbandingan Token tindakan reCAPTCHA Token sesi reCAPTCHA Halaman tantangan reCAPTCHA reCAPTCHA Express
Kasus penggunaan Digunakan untuk melindungi tindakan pengguna, seperti login atau membuat komentar di postingan. Digunakan untuk melindungi seluruh sesi pengguna di domain situs. Gunakan jika Anda mencurigai adanya aktivitas spam yang ditujukan ke situs Anda dan Anda perlu menyaring bot.

Metode ini mengganggu aktivitas pengguna karena pengguna harus memverifikasi tantangan CAPTCHA.

Gunakan reCAPTCHA Express jika lingkungan Anda tidak mendukung integrasi JavaScript reCAPTCHA atau SDK seluler.
Platform yang didukung Situs dan aplikasi seluler Websites Websites Semua Permintaan HTTP.

Mencakup: API, situs, aplikasi seluler, dan perangkat IoT seperti TV dan konsol game

Upaya integrasi klien Sedang

Integrasi sisi klien manual.

Sedang

Instal JavaScript reCAPTCHA secara manual atau melalui injeksi di WAF.

Rendah

Iklan interstisial dipicu oleh kebijakan keamanan.

Rendah

Tidak ada integrasi klien.

Akurasi deteksi Tertinggi

Sinyal khusus klien, server, dan tindakan tersedia.

Tinggi

Sinyal khusus klien dan server tersedia.

Sedang

Sinyal khusus klien dan server tersedia. Sinyal klien hanya tersedia di halaman interstisial.

Rendah

Hanya sinyal sisi server yang tersedia.

Versi reCAPTCHA yang didukung Kunci reCAPTCHA berbasis skor dan kotak centang Kunci berbasis skor reCAPTCHA Kunci berbasis tantangan reCAPTCHA yang disematkan di halaman interstisial Kunci ekspres reCAPTCHA

Token tindakan reCAPTCHA

Anda dapat menggunakan token tindakan reCAPTCHA untuk melindungi interaksi pengguna yang penting, seperti checkout di halaman web dan di aplikasi seluler.

Alur kerja token tindakan reCAPTCHA terdiri dari langkah-langkah berikut:

  1. Saat pengguna akhir memicu tindakan yang dilindungi oleh reCAPTCHA, halaman web atau aplikasi seluler akan mengirimkan sinyal yang dikumpulkan di browser ke reCAPTCHA untuk dianalisis.
  2. reCAPTCHA mengirimkan token tindakan ke halaman web atau aplikasi seluler.
  3. Anda melampirkan token tindakan ini ke header permintaan yang ingin dilindungi.
  4. Saat pengguna akhir meminta akses dengan token tindakan, plugin WAF akan mendekode dan memvalidasi atribut token tindakan, bukan aplikasi backend Anda.
  5. Plugin WAF menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall yang Anda konfigurasi, mana pun yang berlaku.

Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk situs:

Google Cloud Armor

Penyedia layanan WAF pihak ketiga

Diagram urutan berikut menunjukkan alur kerja token tindakan reCAPTCHA untuk aplikasi seluler:

Token sesi reCAPTCHA

Anda dapat menggunakan token sesi reCAPTCHA jika ingin melindungi seluruh sesi pengguna di domain situs. Token sesi memungkinkan Anda menggunakan kembali penilaian reCAPTCHA yang ada untuk jangka waktu tertentu, sehingga tidak diperlukan penilaian lebih lanjut untuk pengguna tertentu, mengurangi gesekan pengguna, dan total panggilan reCAPTCHA yang diperlukan.

Untuk memungkinkan reCAPTCHA mempelajari pola penjelajahan pengguna akhir Anda, sebaiknya Anda menggunakan token sesi reCAPTCHA di semua halaman web situs Anda.

Alur kerja token sesi reCAPTCHA terdiri dari langkah-langkah berikut:

  1. Browser memuat JavaScript reCAPTCHA dari reCAPTCHA.
  2. JavaScript reCAPTCHA menetapkan token sesi sebagai cookie di browser pengguna akhir setelah penilaian.
  3. Browser pengguna akhir menyimpan cookie dan JavaScript reCAPTCHA memperbarui cookie setiap 30 menit selama JavaScript reCAPTCHA tetap aktif.
  4. Saat pengguna meminta akses dengan cookie, plugin WAF akan memvalidasi cookie ini dan menerapkan tindakan berdasarkan aturan kebijakan keamanan atau aturan kebijakan firewall.

Diagram urutan berikut menunjukkan alur kerja token sesi reCAPTCHA:

Google Cloud Armor

Plugin WAF pihak ketiga

Halaman tantangan reCAPTCHA

Anda dapat menggunakan fitur halaman tantangan reCAPTCHA untuk mengalihkan permintaan masuk ke reCAPTCHA guna menentukan apakah setiap permintaan berpotensi curang atau sah.

Penerapan pengalihan dan kemungkinan verifikasi CAPTCHA ini mengganggu aktivitas pengguna. Sebaiknya gunakan fitur ini untuk menyaring bot saat Anda mencurigai adanya aktivitas spam yang ditujukan ke situs Anda.

Saat pengguna akhir (pengguna) mengunjungi situs Anda untuk pertama kalinya, peristiwa berikut akan terjadi:

  1. Di lapisan WAF, permintaan pengguna dialihkan ke halaman tantangan reCAPTCHA.
  2. reCAPTCHA merespons dengan halaman HTML yang disematkan dengan JavaScript reCAPTCHA.
  3. Saat halaman tantangan dirender, reCAPTCHA akan menilai interaksi pengguna. Jika perlu, reCAPTCHA menyajikan tantangan CAPTCHA kepada pengguna.
  4. Bergantung pada hasil penilaian, reCAPTCHA melakukan hal berikut:

    1. Jika interaksi pengguna lulus penilaian, reCAPTCHA akan mengeluarkan cookie pengecualian. Browser melampirkan cookie pengecualian ini ke permintaan pengguna berikutnya ke situs yang sama hingga cookie berakhir masa berlakunya. Secara default, masa berlaku cookie pengecualian adalah tiga jam.
    2. Jika interaksi pengguna tidak lulus penilaian, reCAPTCHA tidak akan mengeluarkan cookie pengecualian.
  5. reCAPTCHA memuat ulang halaman web dengan cookie pengecualian jika pengguna mengakses halaman web menggunakan panggilan GET/HEAD. Jika pengguna mengakses halaman web menggunakan panggilan POST/PUT, pengguna harus mengklik link muat ulang di halaman.

  6. Plugin WAF mengecualikan permintaan yang memiliki cookie pengecualian yang valid agar tidak dialihkan lagi dan memberikan akses ke situs Anda.

Diagram urutan berikut menunjukkan alur kerja halaman tantangan reCAPTCHA:

Google Cloud Armor

Penyedia layanan WAF pihak ketiga

reCAPTCHA Express untuk WAF

Anda dapat menggunakan reCAPTCHA Express untuk melindungi aplikasi Anda di lingkungan yang tidak mendukung menjalankan JavaScript reCAPTCHA atau SDK seluler bawaan, misalnya, perangkat IoT dan set-top box. Anda dapat mengintegrasikan reCAPTCHA ekspres dengan penyedia layanan WAF reCAPTCHA atau di lingkungan mandiri di server aplikasi.

reCAPTCHA ekspres hanya menggunakan sinyal backend untuk menghasilkan skor risiko reCAPTCHA, yang menghasilkan akurasi deteksi yang lebih rendah daripada integrasi yang melibatkan komponen sisi klien. Anda dapat menggunakan skor ini untuk menilai permintaan HTTP apa pun.

Alur kerja ekspres reCAPTCHA terdiri dari langkah-langkah berikut:

  1. Saat pengguna meminta akses ke halaman web, plugin WAF akan mengirim permintaan untuk membuat penilaian.
  2. reCAPTCHA menilai interaksi pengguna dan menampilkan skor risiko.
  3. Berdasarkan skor risiko, plugin WAF reCAPTCHA atau server aplikasi mengizinkan atau memblokir akses.

Diagram urutan berikut menunjukkan alur kerja reCAPTCHA Express:

Langkah berikutnya