Como o AWS WAF usa tokens - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o AWS WAF usa tokens

Esta seção explica como o AWS WAF usa tokens.

O AWS WAF usa tokens para registrar e verificar os seguintes tipos de validação da sessão do cliente:

  • CAPTCHA:Os quebra-cabeças CAPTCHA ajudam a distinguir bots de usuários humanos. Um CAPTCHA é executado somente pela ação de regra CAPTCHA. Após a conclusão bem-sucedida do quebra-cabeça, o script do CAPTCHA atualiza o timestamp do CAPTCHA do token. Para ter mais informações, consulte CAPTCHA e Challenge no AWS WAF.

  • Desafio:Os desafios são executados silenciosamente para ajudar a distinguir as sessões regulares dos clientes das sessões de bots e para tornar a operação dos bots mais dispendiosa. Quando o desafio é concluído com sucesso, o script do desafio adquire automaticamente um novo token do AWS WAF, se necessário, e então atualiza o timestamp do desafio do token.

    O AWS WAF executa desafios nas seguintes situações:

    • SDKs de integração de aplicativos:Os SDKs de integração de aplicativos são executados dentro das sessões do aplicativo cliente e ajudam a garantir que as tentativas de login só sejam permitidas após o cliente ter respondido com sucesso a um desafio. Para ter mais informações, consulte Integrações de aplicativos clientes em AWS WAF.

    • Ação de regra Challenge:Para mais informações, consulte CAPTCHA e Challenge no AWS WAF.

    • CAPTCHA:Quando um intersticial CAPTCHA é executada, se o cliente ainda não tiver um token, o script executa automaticamente um desafio primeiro, para verificar a sessão do cliente e inicializar o token.

Os tokens são exigidos por muitas das regras dos grupos de regras das regras gerenciadas da AWS de ameaças inteligentes. As regras usam tokens para fazer coisas como distinguir entre clientes no nível da sessão, determinar as características do navegador e entender o nível de interatividade humana na página da web do aplicativo. Esses grupos de regras invocam o gerenciamento de tokens do AWS WAF, que aplica a rotulagem de tokens que os grupos de regras então inspecionam.

  • Prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control:As regras do ACFP exigem solicitações na web com tokens válidos. Para obter mais informações sobre as regras, consulte AWS WAF Fraud Control: criação de contas, prevenção de fraudes (ACFP), grupo de regras.

  • Prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control:As regras do ATP que evitam sessões de alto volume e longa duração com clientes exigem solicitações da web que tenham um token válido com um timestamp de desafio não expirado. Para ter mais informações, consulte AWS WAF Grupo de regras de prevenção de aquisição de contas de controle de fraudes (ATP).

  • Controle de Bots do AWS WAF:As regras específicas desse grupo de regras limitam o número de solicitações da web que um cliente pode enviar sem um token válido e usam o acompanhamento de sessão de token para monitoramento e gerenciamento em nível de sessão. Conforme necessário, as regras aplicam as ações de regra Challenge e CAPTCHApara impor a aquisição de tokens e o comportamento válido do cliente. Para ter mais informações, consulte AWS WAF Grupo de regras do Bot Control.