【问题标题】:Using ReCaptcha with Credentials Management API将 ReCaptcha 与凭据管理 API 一起使用
【发布时间】:2019-01-19 22:14:25
【问题描述】:

早上好, 我们必须使用两种不同的客户登录方式:

  1. 凭据管理 API:https://developers.google.com/web/fundamentals/security/credential-management/
  2. 和 ReCaptcha。

您知道如何让它们协同工作吗? Recaptcha 旨在阻止用户通过 API 调用无缝自动登录,这就是凭据管理所做的(或多或少)。

【问题讨论】:

    标签: recaptcha credentials google-identity credential-manager


    【解决方案1】:

    我是 Google 的产品经理,负责用户身份验证。

    Recaptcha 并非旨在“通过 API 调用无缝阻止用户自动登录”,它旨在检测机器人,无论机器人可能在何处使用 API 调用或编写表单交互进行身份验证。

    我建议尝试自动登录所有用户,并仅在您实际看到或认为存在来自机器人的滥用行为(例如交易)的操作上应用触发验证码,并尽可能使用“invisible”避免用户摩擦。

    【讨论】:

    • 感谢您的回复史蒂文,看来我们误解了自动登录的使用。我们对凭证管理 API 的使用是在我们的登录页面上,我们在前端获取普通凭证,使用我们的登录表单打开一个不可见的 iframe,然后将凭证插入到我们通过 JS 提交的登录表单中。这与机器人会做的事情非常相似,这让我们认为必须有其他方式,或者让我们唯一地表明我们的良好意图的方式
    • 暂时回答这个问题,打开一个 ifame 来发布一个凭证是矫枉过正的。您可以简单地使用 xhr 发布它。
    • 机器人同样可以轻松地手动填写和提交表单,因此 CM API 的使用不应成为机器人检测的决定因素。您在这里遇到实际问题,还是这只是理论上的问题?
    • 我们担心的是,无论我们以哪种方式提供凭据(我们在前端获得),因为我们是从代码中完成的,所以我们的行为就像一个机器人。恶意机器人可能会对来自另一个站点的泄露帐户列表执行相同的操作。因此,我们的凭证的任何目的地都需要保护免受机器人攻击。如果它是一个登录表单,我们可以在上面放上 reCaptcha,这意味着我们也会阻止我们的自动登录(因为它就像一个机器人)。
    • 如果它是某种 API,我们可以将凭据发送到那里,但 reCaptcha 不在图片范围内,人们可以轻松地观察到凭据被发送到哪里(来自合法会话),然后攻击者也可以这样做。这就是我们必须错过的一块拼图。
    猜你喜欢
    • 2018-04-16
    • 1970-01-01
    • 1970-01-01
    • 2014-11-25
    • 1970-01-01
    • 2022-01-21
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多