Bagaimana AWS WAF menggunakan token - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS WAF menggunakan token

AWS WAF menggunakan token untuk merekam dan memverifikasi jenis validasi sesi klien berikut:

  • CAPTCHA — Teka-teki CAPTCHA membantu membedakan bot dari pengguna manusia. CAPTCHA dijalankan hanya oleh tindakan CAPTCHA aturan. Setelah berhasil menyelesaikan teka-teki, skrip CAPTCHA memperbarui stempel waktu CAPTCHA token. Untuk informasi selengkapnya, lihat CAPTCHAdan Challenge di AWS WAF.

  • Tantangan — Tantangan berjalan diam-diam untuk membantu membedakan sesi klien reguler dari sesi bot dan membuatnya lebih mahal bagi bot untuk beroperasi. Ketika tantangan berhasil diselesaikan, skrip tantangan secara otomatis mendapatkan token baru dari AWS WAF jika diperlukan, dan kemudian memperbarui stempel waktu tantangan token.

    AWS WAF menjalankan tantangan dalam situasi berikut:

    • SDK integrasi aplikasi — SDK integrasi aplikasi berjalan di dalam sesi aplikasi klien Anda dan membantu memastikan bahwa upaya login hanya diizinkan setelah klien berhasil merespons tantangan. Untuk informasi selengkapnya, lihat AWS WAF integrasi aplikasi klien.

    • Challengetindakan aturan — Untuk informasi lebih lanjut, lihatCAPTCHAdan Challenge di AWS WAF.

    • CAPTCHA— Ketika pengantara CAPTCHA berjalan, jika klien belum memiliki token, skrip secara otomatis menjalankan tantangan terlebih dahulu, untuk memverifikasi sesi klien dan untuk menginisialisasi token.

Token diwajibkan oleh banyak aturan dalam kelompok aturan Aturan AWS Terkelola ancaman cerdas. Aturan menggunakan token untuk melakukan hal-hal seperti membedakan antara klien di tingkat sesi, untuk menentukan karakteristik browser, dan untuk memahami tingkat interaktivitas manusia pada halaman web aplikasi. Grup aturan ini memanggil manajemen AWS WAF token, yang menerapkan pelabelan token yang kemudian diperiksa oleh grup aturan.

  • AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP) — Aturan ACFP mengharuskan permintaan web dengan token yang valid. Untuk informasi lebih lanjut tentang aturan, lihatAWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan.

  • AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP) — Aturan ATP yang mencegah volume tinggi dan sesi klien yang tahan lama memerlukan permintaan web yang memiliki token yang valid dengan stempel waktu tantangan yang belum kedaluwarsa. Untuk informasi selengkapnya, lihat AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP).

  • AWS WAF Kontrol Bot — Aturan yang ditargetkan dalam grup aturan ini membatasi jumlah permintaan web yang dapat dikirim klien tanpa token yang valid, dan mereka menggunakan pelacakan sesi token untuk pemantauan dan manajemen tingkat sesi. Jika diperlukan, aturan menerapkan tindakan Challenge dan CAPTCHA aturan untuk menegakkan akuisisi token dan perilaku klien yang valid. Untuk informasi selengkapnya, lihat AWS WAF Grup aturan Bot Control.