Android API reCAPTCHA: quel est le point de validation du jeton utilisateur?

Question

J'étudie le nouveau Android reCAPTCHA API mais je ne comprends pas vraiment à quoi sert de valider le jeton d'utilisateur via https://www.google.com/recaptcha/api/siteverify et pourquoi cela n'est pas fait automatiquement par le client SafetyNet. Est-ce que quelqu'un peut expliquer pourquoi cela est nécessaire, ce qui pourrait arriver si je ne le fais pas et pourquoi n'est pas déjà fait par le client SafetyNet?

Answer 1

L'API reCAPTCHA côté client (téléphone portable) vérifie l'utilisateur et émet un jeton à valider.

Il est important de noter que cette validation est effectuée du côté backend (pas côté client), pensez donc à un jeton unique pour vérifier l'utilisateur sur >> votre backend < <. ReCAPTCHA empêche les bots d'automatiser le processus autant que possible et un jeton de temps arrête de rejouer les attaques si quelqu'un renifle quelque part un jeton valide. Pour résumer, vous devez avoir votre propre backend qui ferait la validation du jeton reCAPTCHA.