Để tìm hiểu thêm, hãy đọc các cuộc tấn công nhồi thông tin xác thực của chúng tôi. Sách trắng về chúng là gì và cách chống lại chúng
Auth0 sử dụng một lượng lớn dữ liệu và mô hình thống kê để xác định các mẫu báo hiệu khi các đợt lưu lượng truy cập đăng nhập/đăng ký có khả năng đến từ bot hoặc tập lệnh. Người dùng cố gắng đăng nhập hoặc tạo tài khoản từ các IP được xác định là có khả năng cao là một phần của cuộc tấn công nhồi thông tin xác thực sẽ thấy bước CAPTCHA. Các trình kích hoạt được thiết kế để điều này chỉ xảy ra đối với lưu lượng truy cập kém;
điều kiện tiên quyết
Nếu bạn muốn sử dụng Google reCAPTCHA Enterprise, bạn sẽ cần lấy Khóa trang web, Khóa API và ID dự án từ Google. Để tìm hiểu thêm, hãy đọc Định cấu hình reCAPTCHA Enterprise trên Google Cloud Platform
Định cấu hình phát hiện bot
Bảo vệ này được bật theo mặc định cho tất cả các kết nối
Đi tới và chọn Phát hiện Bot
Trong phần Phát hiện, hãy bật chuyển đổi
Kích hoạt các tính năng chống tấn công mà không bật bất kỳ cài đặt phản hồi nào sẽ kích hoạt chế độ Giám sát, chế độ này chỉ ghi lại các sự kiện liên quan trong nhật ký đối tượng thuê của bạn. Để tìm hiểu thêm, hãy đọc Xem Sự kiện Nhật ký Bảo vệ Tấn công
Nếu bạn không thể nhìn thấy nút chuyển đổi để bật tính năng này, bạn có thể cần phải
Trong phần Phản hồi, chọn thời điểm bạn muốn yêu cầu CAPTCHA
Chọn Never để không bao giờ yêu cầu người dùng của bạn hoàn thành CAPTCHA để đăng nhập
Chọn Khi rủi ro để chỉ yêu cầu người dùng của bạn hoàn thành CAPTCHA nếu thông tin đăng nhập có vẻ rủi ro cao. Chọn loại CAPTCHA trong bước tiếp theo
Chọn Luôn luôn để luôn yêu cầu người dùng của bạn hoàn thành CAPTCHA để đăng nhập. Chọn loại CAPTCHA trong bước tiếp theo
Chọn xem bạn muốn sử dụng CAPTCHA đơn giản do Auth0 cung cấp hay Google reCAPTCHA [yêu cầu thiết lập và đăng ký bên ngoài]
Nếu chọn Simple CAPTCHA là xong. Chọn tùy chọn này nếu trải nghiệm đăng nhập của bạn bắt buộc phải hoạt động mà không cần JavaScript
Nếu bạn chọn Google reCAPTCHA v2, hãy nhập Khóa trang web và Bí mật trang web mà bạn nhận được khi đăng ký ứng dụng của mình với Google
Nếu bạn chọn Google reCAPTCHA Enterprise, hãy nhập Khóa trang web, Khóa API và ID dự án mà bạn đã nhận được khi định cấu hình Google reCAPTCHA Enterprise trên Google Cloud Platform. Để tìm hiểu thêm, hãy đọc Định cấu hình reCAPTCHA Enterprise trên Google Cloud Platform
Đảm bảo rằng bạn đã chọn When Risky hoặc Always dưới Enforce CAPTCHA ở trên
Nhấp vào để lưu
Cho phép các địa chỉ IP đáng tin cậy bỏ qua việc phát hiện bot
Bạn có thể tạo tối đa 100 địa chỉ IP nhất định được miễn khỏi sự phát hiện của bot bằng cách thêm chúng vào Danh sách cho phép IP. Auth0 không chặn hoặc cảnh báo khi các IP này bỏ qua Bảo vệ Bot
Đi tới và chọn Phát hiện Bot
Trong hộp Danh sách cho phép IP, hãy nhập địa chỉ IP và/hoặc dải CIDR [IPv4 hoặc IPv6] mà bạn muốn cho phép đăng nhập và đăng ký không giới hạn. Phân tách nhiều địa chỉ hoặc phạm vi bằng dấu phẩy
Hạn chế và hạn chế
Giới hạn lưu lượng
Tính năng bảo vệ bot hoạt động cho các ứng dụng web và thiết bị di động sử dụng Đăng nhập toàn cục Auth0. Đối với những trải nghiệm không sử dụng Đăng nhập toàn cục , mức độ hỗ trợ bị hạn chế, đặc biệt đối với các luồng không thể hỗ trợ xác thực CAPTCHA hoặc reCAPTCHA. Vui lòng đảm bảo rằng tất cả các trải nghiệm đăng nhập của bạn đều được hỗ trợ trước khi bật tính năng này, nếu không bạn có thể gây lỗi cho ứng dụng của mình.
FlowLimitationĐăng nhập toàn cục mớiĐược hỗ trợ theo mặc định. Đăng nhập toàn cục cổ điển [không có tùy chỉnh]Được hỗ trợ theo mặc định. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh bằng cách sử dụng tiện ích lock.js
mẫu Khóa]Được hỗ trợ nếu sử dụng phiên bản Khóa 11. 30 hoặc cao hơn. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh sử dụng tiện ích Mẫu đăng nhập tùy chỉnh mẫu auth0.js
] Được hỗ trợ nếu sử dụng auth0.js
phiên bản 9. 16 trở lên để tạo trang đăng nhập tùy chỉnh chỉ khi bạn nâng cao mã của mình để xử lý thử thách CAPTCHA hoặc reCAPTCHA. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh sử dụng mẫu Không cần mật khẩu]Không được hỗ trợ. Ứng dụng web hoặc ứng dụng gốc sử dụng Luồng mật khẩu của chủ sở hữu tài nguyên [bao gồm cả những ứng dụng sử dụng SDK lock.android
và lock.swift
]Không được hỗ trợ. Ứng dụng gốc sử dụng phiên bản SDK mới nhấtĐược hỗ trợ. SDK xử lý đăng nhập rủi ro bằng cách gọi luồng Đăng nhập toàn cục. Các luồng không được Auth0 lưu trữ bằng cách sử dụng lock.js
, auth0.js
thực hiện xác thực nhiều nguồn gốc [điểm cuối co/authenticate
]Không được hỗ trợ
Giới hạn loại kết nối
Tùy thuộc vào loại kết nối bạn sử dụng, tính năng phát hiện bot có những hạn chế sau
Loại kết nốiGiới hạnCơ sở dữ liệuĐược hỗ trợ nếu thông tin đăng nhập sử dụng luồng đăng nhập tương thích như được mô tả trong bảng Giới hạn luồng. Cơ sở dữ liệu tùy chỉnhĐược hỗ trợ nếu thông tin đăng nhập sử dụng quy trình đăng nhập tương thích như được mô tả trong bảng Giới hạn quy trình. Active Directory/LDAPSupported nếu thông tin đăng nhập sử dụng luồng đăng nhập tương thích như được mô tả trong bảng Giới hạn luồng. Doanh nghiệp Không được hỗ trợ. Đăng nhập mạng xã hộiKhông được hỗ trợ. Không cần mật khẩuKhông được hỗ trợ
Hỗ trợ trang đăng nhập tùy chỉnh
Nếu bạn tạo trang đăng nhập tùy chỉnh bằng Auth0. js, bạn có thể bật tính năng phát hiện bot để hiển thị bước CAPTCHA trong các trường hợp khi yêu cầu đăng nhập được Auth0 xác định là có rủi ro cao. Mã biểu mẫu đăng nhập tùy chỉnh của bạn phải xử lý các tình huống trong đó người dùng được yêu cầu chuyển bước CAPTCHA. Để tìm hiểu thêm, hãy đọc Thêm Phát hiện Bot vào Trang Đăng nhập Tùy chỉnh
Hỗ trợ ứng dụng gốc
Nếu xây dựng ứng dụng gốc bằng SDK Auth0 cho quy trình đăng nhập, bạn có thể bật tính năng phát hiện bot để hiển thị bước CAPTCHA trong các tình huống khi yêu cầu đăng nhập được Auth0 xác định là có rủi ro cao. Mã biểu mẫu đăng nhập tùy chỉnh của bạn phải xử lý các tình huống trong đó người dùng được yêu cầu chuyển bước CAPTCHA. Để tìm hiểu thêm, hãy đọc Thêm tính năng phát hiện bot vào ứng dụng gốc