Android reCAPTCHA API : 사용자 토큰의 유효성 검사는 무엇입니까?

Question

새로운 Android reCAPTCHA API을 조사 중이지만 https://www.google.com/recaptcha/api/siteverify을 통해 사용자 토큰의 유효성 검사를 수행하는 시점이 무엇인지, 그리고 이것이 SafetyNet 클라이언트에서 자동으로 수행되지 않는 이유는 무엇입니까?

누군가가 이것이 필요한 이유, 내가하지 않으면 어떻게 될지, 왜 SafetyNet 클라이언트가 이미 완료하지 않았는지 설명 할 수 있습니까?

Answer 1

클라이언트 측 (휴대 전화)의 reCAPTCHA API는 사용자를 확인하고 유효성을 검사해야하는 토큰을 발급합니다.

이 유효성 검증은 백엔드 쪽 (클라이언트 쪽 아님)에서 수행되므로, 사용자의 "< < 백엔드를 확인하는 데 일회 토큰으로 생각하십시오. reCAPTCHA는 봇이 가능한 한 프로세스를 자동화하지 못하도록하고 누군가가 유효한 토큰을 어딘가에서 킁킁 거리면 재생 공격을 중지합니다.

요약하면 reCAPTCHA 토큰 유효성 검사를 수행 할 자체 백엔드가 있어야합니다.