本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
挑战和代币获取选项
本节比较了挑战和代币管理选项。
您可以使用以下方式提供挑战并获取代币 AWS WAF 应用程序集成SDKs或规则操作 Challenge 以及 CAPTCHA。 从广义上讲,规则操作更易于实施,但它们会产生额外的成本,更多地干扰您的客户体验,并且需要。 JavaScript它们SDKs需要在您的客户端应用程序中进行编程,但它们可以提供更好的客户体验,它们可以免费使用,并且可以与 Android 或 iOS 应用程序一起使用,也可以在 Android JavaScript 或 iOS 应用程序中使用。您只能使用使用付费智能威胁缓解托管规则组之一的 Web ACLs 应用程序集成SDKs,如下一节所述。
| Challenge 规则操作 | CAPTCHA 规则操作 | JavaScript SDK挑战 | 移动设备SDK挑战赛 | |
|---|---|---|---|---|
| 什么是 | 强制收购的规则操作 AWS WAF 通过向浏览器客户端展示一个无声的挑战插页式广告来标记 | 强制收购的规则操作 AWS WAF 通过向客户端最终用户展示视觉或音频挑战插页式广告来标记 |
应用程序集成层,适用于客户端浏览器和其他执行设备JavaScript。呈现静默质询并获取令牌 |
应用集成层,适用于 Android 和 iOS 应用程序。原生呈现静默质询并获取令牌 |
| 不错的选择…… | 针对机器人会话进行静默验证,并强制支持支持的客户获取代币 JavaScript | 终端用户和针对机器人会话的静默验证,并强制执行令牌获取,适用于支持的客户端 JavaScript | 对机器人会话进行静默验证,并对支持的客户强制获取代币 JavaScript。 它们SDKs提供了最低的延迟,并可以最好地控制挑战脚本在应用程序中的运行位置。 |
针对 Android 和 iOS 上的原生移动应用进行静默验证和令牌强制获取。 它们SDKs提供了最低的延迟,并可以最好地控制挑战脚本在应用程序中的运行位置。 |
| 实施的注意事项 | 作为规则操作设置实施 | 作为规则操作设置实施 | 需要网络中的一个ACFPATP、或 Bot Control 付费规则组ACL。 需要在客户端应用程序中进行编码。 |
需要网络中的一个ACFPATP、或 Bot Control 付费规则组ACL。 需要在客户端应用程序中进行编码。 |
| 运行时系统注意事项 | 没有有效令牌的请求的侵入性流。客户端被重定向到 AWS WAF 挑战插页式广告。添加网络往返行程,并且需要对 Web 请求进行二次评估。 | 没有有效令牌的请求的侵入性流。客户端被重定向到 AWS WAF CAPTCHA间质的。添加网络往返行程,并且需要对 Web 请求进行二次评估。 | 可以在幕后运行。让您更好地控制质询体验。 | 可以在幕后运行。让您更好地控制质询体验。 |
| 需要 JavaScript | 是 | 是 | 是 | 不支持 |
| 支持的客户端 | 执行 Javascript 的浏览器和设备 | 执行 Javascript 的浏览器和设备 | 执行 Javascript 的浏览器和设备 | Android 和 iOS 设备 |
| 支持单页应用程序 () SPA | 仅限强制执行。 您可以使用 Challenge 与操作结合使用SDKs,以确保请求具有有效的质询令牌。您不能使用规则操作将质询脚本传送到页面。 |
仅限强制执行。 您可以使用 CAPTCHA 操作与,结合使用SDKs,以确保请求具有有效的CAPTCHA令牌。您不能使用规则操作将CAPTCHA脚本传送到页面。 |
是 | 不适用 |
| 额外费用 | 可以,适用于您在定义的规则中或在您使用的规则组中作为规则操作优先级明确指定的操作设置。在所有其他情况下都不是。 | 可以,适用于您在定义的规则中或在您使用的规则组中作为规则操作优先级明确指定的操作设置。在所有其他情况下都不是。 | 不需要,但需要付费规则组ACFP或 Bot Control 之一。ATP | 不需要,但需要付费规则组ACFP或 Bot Control 之一。ATP |
有关与这些选项相关的成本的详细信息,请参阅智能威胁缓解信息,网址为 AWS WAF
定价
只需添加一条带有 Challenge 或者 CAPTCHA 行动。例如,如果您无权访问应用程序代码,则可能需要使用规则操作。
SDKs但是,与使用相比,如果可以实施,则可以节省成本,减少客户端 Web 请求的 Web ACL 评估延迟 Challenge 行动:
-
你可以编写自己的SDK实现来在应用程序中的任何时候运行挑战。您可以在后台获取令牌,然后再进行任何会向您的受保护资源发送 Web 请求的客户操作。这样,令牌就可以随客户端的第一个请求一起发送。
-
相反,如果你通过实现规则来获取代币 Challenge action,规则和操作需要在客户端首次发送请求时以及令牌到期时进行额外的 Web 请求评估和处理。这些区域有:Challenge action 会阻止没有有效的、未过期的令牌的请求,并将质询插页式广告发送回客户端。在客户端成功响应挑战后,插页式广告会使用有效令牌重新发送原始网络请求,然后由网络对其进行第二次评估。ACL
