Bagaimana AWS WAF menggunakan token - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS WAF menggunakan token

Bagian ini menjelaskan bagaimana AWS WAF menggunakan token.

AWS WAF menggunakan token untuk merekam dan memverifikasi jenis validasi sesi klien berikut:

  • CAPTCHA— CAPTCHA teka-teki membantu membedakan bot dari pengguna manusia. A CAPTCHA dijalankan hanya oleh CAPTCHA tindakan aturan. Setelah berhasil menyelesaikan teka-teki, CAPTCHA skrip memperbarui CAPTCHA stempel waktu token. Untuk informasi selengkapnya, lihat Penggunaan CAPTCHA and Challenge in AWS WAF.

  • Tantangan — Tantangan berjalan diam-diam untuk membantu membedakan sesi klien reguler dari sesi bot dan membuatnya lebih mahal bagi bot untuk beroperasi. Ketika tantangan berhasil diselesaikan, skrip tantangan secara otomatis mendapatkan token baru AWS WAF jika diperlukan, lalu perbarui stempel waktu tantangan token.

    AWS WAF menjalankan tantangan dalam situasi berikut:

    • Integrasi aplikasi SDKs — Integrasi aplikasi SDKs berjalan di dalam sesi aplikasi klien Anda dan membantu memastikan bahwa upaya login hanya diizinkan setelah klien berhasil menanggapi tantangan. Untuk informasi selengkapnya, lihat Menggunakan integrasi aplikasi klien dengan AWS WAF.

    • Challenge tindakan aturan — Untuk informasi lebih lanjut, lihatPenggunaan CAPTCHA and Challenge in AWS WAF.

    • CAPTCHA— Ketika CAPTCHA pengantara berjalan, jika klien belum memiliki token, skrip secara otomatis menjalankan tantangan terlebih dahulu, untuk memverifikasi sesi klien dan untuk menginisialisasi token.

Token diperlukan oleh banyak aturan dalam ancaman cerdas AWS Kelompok aturan Aturan Terkelola. Aturan menggunakan token untuk melakukan hal-hal seperti membedakan antara klien di tingkat sesi, untuk menentukan karakteristik browser, dan untuk memahami tingkat interaktivitas manusia pada halaman web aplikasi. Kelompok-kelompok aturan ini memanggil AWS WAF manajemen token, yang menerapkan pelabelan token yang kemudian diperiksa oleh kelompok aturan.

  • AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP) — ACFP Aturan mengharuskan permintaan web dengan token yang valid. Untuk informasi lebih lanjut tentang aturan, lihatAWS WAF Fraud Control pembuatan akun pencegahan penipuan (ACFP) kelompok aturan.

  • AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP) — ATP Aturan yang mencegah volume tinggi dan sesi klien yang tahan lama memerlukan permintaan web yang memiliki token yang valid dengan stempel waktu tantangan yang belum kedaluwarsa. Untuk informasi selengkapnya, lihat AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP).

  • AWS WAF Kontrol Bot — Aturan yang ditargetkan dalam grup aturan ini membatasi jumlah permintaan web yang dapat dikirim klien tanpa token yang valid, dan mereka menggunakan pelacakan sesi token untuk pemantauan dan manajemen tingkat sesi. Sesuai kebutuhan, aturan berlaku Challenge and CAPTCHA tindakan aturan untuk menegakkan akuisisi token dan perilaku klien yang valid. Untuk informasi selengkapnya, lihat AWS WAF Grup aturan Bot Control.