Google は、10 年以上も reCAPTCHA を駆使して何百万ものサイトを保護してきました。reCAPTCHA は、エージェント型ウェブ全体で bot、アカウント、トランザクションを保護する不正行為防止プラットフォームである Google Cloud Fraud Defense の一部になりました。Fraud Defense を使用すると、スパムや悪用からウェブサイトやモバイルアプリを保護するレイヤを追加し、認証情報スタッフィング、アカウントの乗っ取り(ATO)、自動アカウント作成など、その他の種類の不正行為を検出できます。 Fraud Defense は、より詳細なスコア、危険なイベントの理由コード、モバイルアプリ SDK、パスワード保護、多要素認証(MFA)、サイト固有モデルの調整による企業ビジネスの保護などの機能を備えた拡張検出を提供します。
Fraud Defense のティア
Fraud Defense には、使用量ベースの Enterprise、Premium、Essentials の 3 つのティアがあります。
これらのティアで利用可能な機能については、 Fraud Defense の各ティア間の機能の比較をご覧ください。
reCAPTCHA の仕組み
reCAPTCHA が環境にデプロイされると、reCAPTCHA はバックエンドとクライアント(ウェブページまたはモバイルアプリ)とやり取りします。
エンドユーザーがウェブページにアクセスしたり、モバイルアプリを使用したりすると、次のイベントが順番にトリガーされます。
- クライアントがバックエンドからウェブページを読み込むか、モバイルアプリを起動します。
- ウェブページやモバイルアプリが reCAPTCHA JavaScript API またはモバイル SDK を初期化し、シグナルの収集を開始します。
- エンドユーザーがログインなどの reCAPTCHA で保護されたアクションをトリガーすると、クライアントの reCAPTCHA JavaScript API またはモバイル SDK が reCAPTCHA に判定をリクエストします。
- reCAPTCHA は、暗号化された reCAPTCHA トークンを後で使用するためにクライアントに返します。
- クライアントは、評価のために、暗号化された reCAPTCHA トークンをバックエンドに送信します。
- バックエンドは、評価の作成(
assessments.create)リクエストと暗号化された reCAPTCHA トークンを reCAPTCHA に送信します。 - reCAPTCHA は、このリクエストに対して評価されたリスクに基づいて、判定をバックエンドに返します。この判定は、0.0 ~ 1.0 のスコアと理由コードで構成されます。
- 判定に応じて、デベロッパーは、特定のユーザー リクエストまたはアクションに対する次の手順を決定できます。
次のシーケンス図は、reCAPTCHA ワークフローを示しています。
次のステップ
- デモのウェブサイトで reCAPTCHA をテストする。
- reCAPTCHA を使ってみる。
- プラグインを使用するには、以前の reCAPTCHA 秘密鍵を見つけます。