Questa pagina spiega come interpretare un punteggio per comprendere il livello di rischio delle interazioni degli utenti e intraprendere le azioni appropriate per la tua applicazione mobile.
reCAPTCHA restituisce un punteggio per ogni richiesta in base alle interazioni con la tua applicazione mobile. Dopo aver ricevuto il punteggio da reCAPTCHA, devi interpretarlo e intraprendere le azioni appropriate per la tua applicazione mobile.
Prima di iniziare
Crea una valutazione per la tua applicazione mobile.
Interpretare la valutazione
Dopo che il backend invia un token di risposta reCAPTCHA di un utente a reCAPTCHA, ricevi una valutazione come risposta JSON, come mostrato nell'esempio seguente.
Per interpretare una valutazione, considera i seguenti parametri:
valid: indica se il token di risposta dell'utente fornito è valido. Quandovalid = false, il motivo è specificato ininvalidReason.valid = falsepuò anche indicare che un utente non è riuscito a risolvere una sfida o che si è verificata una mancata corrispondenzasitekey.invalidReason: il motivo associato alla risposta quandovalid = false.action: un'interazione dell'utente che ha attivato la verifica reCAPTCHA.expectedAction: l'azione prevista da un utente che hai specificato durante la creazione del test.score: il livello di rischio dell'interazione dell'utente.reasons: informazioni aggiuntive su come reCAPTCHA ha interpretato l'interazione dell'utente.extended_verdict_reasons: motivi avanzati che hanno contribuito al verdetto dell'analisi del rischio.I codici motivo sono disponibili dopo l'attivazione di un controllo di sicurezza automatico tramite l'aggiunta di un account di fatturazione al progetto. Per richiedere l'accesso ai codici motivo, aggiungi un account di fatturazione al tuo progetto.
Anche le valutazioni dei progetti con un abbonamento Enterprise ricevono codici motivo avanzati. Contatta il tuo rappresentante dell'account o il team di vendite diGoogle Cloud per l'elenco completo dei motivi avanzati e per scoprire come interpretarli.
{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "extended_verdict_reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Verificare le azioni
La risposta JSON contiene il parametro action che hai specificato per un'interazione utente durante la chiamata a execute() e il parametro expectedAction che hai specificato durante la creazione della valutazione.
Verifica che action corrisponda a expectedAction.
Ad esempio, un'azione login deve essere restituita nella pagina di accesso.
In caso di mancata corrispondenza, ciò indica che un utente malintenzionato sta tentando di falsificare le azioni. Puoi intraprendere azioni contro l'interazione utente, ad esempio aggiungendo
verifiche aggiuntive o bloccando l'interazione per impedire qualsiasi
attività fraudolenta.
Interpreta i punteggi
Il sistema di punteggio di reCAPTCHA è un'espansione delle versioni precedenti di reCAPTCHA per consentire una maggiore granularità nelle risposte. reCAPTCHA ha 11 livelli per i punteggi con valori compresi tra 0,0 e 1,0. Il punteggio 1,0 indica che l'interazione presenta un rischio basso e molto probabilmente è legittima, mentre 0,0 indica che l'interazione presenta un rischio elevato e potrebbe essere fraudolenta. Degli 11 livelli, solo i seguenti quattro livelli di punteggio sono disponibili prima di attivare una revisione automatica della sicurezza aggiungendo un account di fatturazione al tuo progetto: 0,1, 0,3, 0,7 e 0,9.
Per richiedere l'accesso a 11 livelli di punteggio, aggiungi un account di fatturazione al tuo progetto.
reCAPTCHA apprende monitorando il traffico reale nella tua applicazione mobile. Pertanto, i punteggi in un ambiente di staging e nei 7 giorni successivi all'implementazione potrebbero differire dai punteggi di produzione a lungo termine.
Poiché le chiavi reCAPTCHA per le applicazioni mobile non interrompono il flusso di utenti, puoi prima eseguire reCAPTCHA senza intraprendere alcuna azione e decidere le soglie in seguito esaminando il traffico.
In base al punteggio, puoi intraprendere un'azione appropriata nel contesto della tua applicazione mobile. Per proteggere meglio la tua applicazione mobile, ti consigliamo di eseguire l'azione in background anziché bloccare il traffico.
La seguente tabella elenca alcune delle azioni che potresti intraprendere:
| Caso d'uso | Azione |
|---|---|
| accedi | Con punteggi bassi, richiedi l'autenticazione MFA o la verifica email per impedire attacchi di credential stuffing. |
| social | Limita le richieste di amicizia senza risposta da parte di utenti che commettono abusi e invia i commenti rischiosi alla moderazione. |
| e-commerce | Dai la priorità alle vendite reali rispetto ai bot e identifica le transazioni rischiose. |
Codici motivo
I codici motivo sono disponibili dopo l'attivazione di un controllo di sicurezza automatico con l'aggiunta di un account di fatturazione. Per richiedere l'accesso ai codici motivo, aggiungi un account di fatturazione al tuo progetto.
Alcuni punteggi potrebbero essere restituiti con codici motivo che forniscono ulteriori informazioni su come reCAPTCHA ha interpretato le interazioni.
La tabella seguente elenca i codici motivo e le relative descrizioni:
| Codice motivo | Descrizione |
|---|---|
| AUTOMAZIONE | L'interazione corrisponde al comportamento di un agente automatizzato. |
| UNEXPECTED_ENVIRONMENT | L'evento ha avuto origine da un ambiente illegittimo. |
| TOO_MUCH_TRAFFIC | Il volume di traffico della sorgente evento è superiore al normale. |
| UNEXPECTED_USAGE_PATTERNS | L'interazione con il tuo sito è stata significativamente diversa dai pattern previsti. |
| LOW_CONFIDENCE_SCORE | Il traffico ricevuto da questo sito è troppo basso per generare un'analisi del rischio di qualità. |
Passaggi successivi
- Per ottimizzare il modello specifico per il tuo sito, puoi inviare gli ID di valutazione a Google per confermare i veri positivi e i veri negativi o correggere gli errori. Per maggiori dettagli, consulta Annotare le valutazioni.