**引入全新的主机体验 Amazon WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 质询和令牌获取选项 本节比较了质询和令牌管理选项。 您可以使用 Amazon WAF 应用程序集成 SDKs 或规则操作来提供挑战并获取令牌,Challenge以及CAPTCHA. 从广义上讲,规则操作更易于实施,但它们会产生额外的成本,更多地干扰您的客户体验,并且需要。 JavaScript它们 SDKs 需要在您的客户端应用程序中进行编程,但它们可以提供更好的客户体验,它们可以免费使用,并且可以与 Android 或 iOS 应用程序一起使用,也可以在 Android JavaScript 或 iOS 应用程序中使用。您只能将应用程序 SDKs 与使用付费智能威胁缓解托管规则组之一的保护包 (Web ACLs) 集成,如下一节所述。 **质询和令牌获取选项的比较** | | Challenge 规则操作 | CAPTCHA 规则操作 | JavaScript SDK 挑战赛 | 移动软件开发工具包质询 | | --- | --- | --- | --- | --- | | 什么是 | 规则动作,通过向浏览器客户端提供静默质询插页式广告来强制获取 Amazon WAF 令牌 | 通过向客户端最终用户展示视觉或音频挑战插页式广告来强制获取 Amazon WAF 代币的规则操作 | 应用程序集成层,适用于客户端浏览器和其他执行设备JavaScript。呈现静默质询并获取令牌 | 应用集成层,适用于 Android 和 iOS 应用程序。原生呈现静默质询并获取令牌 | | 不错的选择…… | 针对机器人会话进行静默验证,并强制支持支持的客户获取代币 JavaScript | 终端用户和针对机器人会话的静默验证,并强制执行令牌获取,适用于支持的客户端 JavaScript | 对机器人会话进行静默验证,并对支持的客户强制获取代币 JavaScript。它们 SDKs 提供了最低的延迟,并可以最好地控制挑战脚本在应用程序中的运行位置。 | 针对 Android 和 iOS 上的原生移动应用进行静默验证和令牌强制获取。它们 SDKs 提供了最低的延迟,并可以最好地控制挑战脚本在应用程序中的运行位置。 | | 实施的注意事项 | 作为规则操作设置实施 | 作为规则操作设置实施 | 需要保护包(web ACL)中的 ACFP、ATP 或机器人控制功能付费规则组之一。需要在客户端应用程序中进行编码。 | 需要保护包(web ACL)中的 ACFP、ATP 或机器人控制功能付费规则组之一。需要在客户端应用程序中进行编码。 | | 运行时系统注意事项 | 没有有效令牌的请求的侵入性流。客户被重定向到 Amazon WAF 挑战插页式广告。添加网络往返行程,并且需要对 web 请求进行二次评估。 | 没有有效令牌的请求的侵入性流。客户端被重定向到 Amazon WAF 验证码插页式广告。添加网络往返行程,并且需要对 web 请求进行二次评估。 | 可以在幕后运行。让您更好地控制质询体验。 | 可以在幕后运行。让您更好地控制质询体验。 | | 需要 JavaScript | 支持 | 是 | 是 | 否 | | 支持的客户端 | 执行 Javascript 的浏览器和设备 | 执行 Javascript 的浏览器和设备 | 执行 Javascript 的浏览器和设备 | Android 和 iOS 设备 | | 支持单页应用程序 (SPA) | 仅限强制执行。您可以将该Challenge操作与结合使用 SDKs,以确保请求具有有效的质询令牌。您不能使用规则操作将质询脚本传送到页面。 | 仅限强制执行。您可以将该CAPTCHA操作与结合使用SDKs,以确保请求具有有效的验证码令牌。您不能使用规则操作将验证码脚本传送到页面。 | 是 | 不适用 | | 额外费用 | 可以,适用于您在定义的规则中或在您使用的规则组中作为规则操作优先级明确指定的操作设置。在所有其他情况下都不是。 | 可以,适用于您在定义的规则中或在您使用的规则组中作为规则操作优先级明确指定的操作设置。在所有其他情况下都不是。 | 不需要,但需要付费规则组 ACFP、ATP 或 机器人控制功能。 | 不需要,但需要付费规则组 ACFP、ATP 或 机器人控制功能。 | 有关与这些选项相关的成本的详细信息,请参阅 [Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)中的智能威胁缓解信息。 只需添加带有 Challenge 或 CAPTCHA 操作的规则,即可更轻松地运行质询并提供基本的令牌强制执行。例如,如果您无权访问应用程序代码,则可能需要使用规则操作。 SDKs 但是,与使用以下Challenge操作相比,如果可以实施,则可以节省成本并减少客户端 Web 请求的保护包 (Web ACL) 评估中的延迟: + 您可以编写自己的软件开发工具包实施,以便在应用程序中的任何位置运行质询。您可以在后台获取令牌,然后再进行任何会向您的受保护资源发送 web 请求的客户操作。这样,令牌就可以随客户端的第一个请求一起发送。 + 相反,如果您通过实施带有 Challenge 操作的规则来获取令牌,则在客户端首次发送请求和令牌到期时,规则和操作需要额外的 web 请求评估和处理。Challenge 操作会阻止不具备有效的未过期令牌的请求,并将质询插页式广告发送回客户端。在客户端成功响应质询后,插页式广告会重新发送包含有效令牌的原始 web 请求,然后由保护包(web ACL)对其进行第二次评估。