Creazione di chiavi reCAPTCHA per i siti web

In questa pagina viene spiegato come creare chiavi reCAPTCHA (note anche come chiavi) per verificare le interazioni degli utenti sulle tue pagine web.

Le chiavi reCAPTCHA rappresentano il modo in cui è configurato reCAPTCHA per un sito web. La configurazione include opzioni importanti, come la visualizzazione o meno delle verifiche CAPTCHA.

Prima di iniziare

Crea una chiave reCAPTCHA

Non esiste alcun limite al numero di chiavi reCAPTCHA che puoi creare per un progetto Google Cloud. È preferibile creare una chiave reCAPTCHA per sito web.

Consigliamo di creare chiavi reCAPTCHA separate per gli ambienti di gestione temporanea e produzione. In caso contrario, rischi di inquinare l'analisi del rischio di reCAPTCHA con i dati del tuo ambiente di test.

Il modo più semplice per creare una chiave reCAPTCHA è tramite la console Google Cloud. In alternativa, puoi utilizzare l'API reCAPTCHA Enterprise o Google Cloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina reCAPTCHA.

    Vai a reCAPTCHA

  2. Verifica che il nome del progetto venga visualizzato nel selettore di risorse nella parte superiore della pagina.

    Se non vedi il nome del progetto, fai clic sul selettore di risorse e poi seleziona il progetto.

  3. Fai clic su Crea chiave.
  4. Nel campo Nome visualizzato, inserisci un nome visualizzato per la chiave.
  5. Nel menu Scegli il tipo di piattaforma, seleziona Sito web.

    Viene visualizzata la sezione Elenco domini.

  6. Inserisci il nome di dominio per il tuo sito web:

    1. Nella sezione Elenco domini, fai clic su Aggiungi un dominio.
    2. Nel campo Dominio, inserisci il nome del tuo dominio.

    3. (Facoltativo) Per aggiungere un altro dominio, fai clic su Aggiungi un dominio e inserisci il nome di un altro dominio nel campo Dominio. Puoi aggiungere fino a un massimo di 250 domini.

      Per i siti web, la chiave reCAPTCHA è univoca per i domini e i sottodomini specificati. Puoi specificare più di un dominio se pubblichi il tuo sito web da più domini. Se specifichi un dominio (ad esempio, examplepetstore.com), non devi specificarne i sottodomini (ad esempio, subdomain.examplepetstore.com).

      Per utilizzare una chiave in più di 250 domini, fai clic sul pulsante di attivazione/disattivazione Disattiva la verifica del dominio. reCAPTCHA ignorerà quindi l'elenco di domini. Devi eseguire la verifica del dominio autonomamente esaminando il campo tokenProperties.hostname nelle valutazioni che crei.

  7. A seconda del tipo di chiave reCAPTCHA che vuoi creare per il tuo sito web, esegui l'azione appropriata:

    8. Crea chiavi reCAPTCHA basate sul punteggio

    1. (Facoltativo) Se vuoi disattivare la verifica del dominio o consentire le pagine AMP, espandi la sezione Web application firewall (WAF), Verifica del dominio, Pagine AMP e verifica.
      1. Per proteggere la chiave reCAPTCHA per il tuo dominio e i tuoi sottodomini, assicurati che l'opzione Disattiva verifica dominio sia disattivata.

        La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non presenta limitazioni, perciò la chiave reCAPTCHA è accessibile e utilizzata da chiunque.

      2. Se vuoi consentire il funzionamento della chiave basata sul punteggio con Accelerated Mobile Pages (AMP), attiva il pulsante di attivazione/disattivazione Consenti a questa chiave di funzionare con le pagine AMP.

      3. Per il tuo ambiente non di produzione, se vuoi specificare un punteggio che vuoi che la chiave restituisca quando vengono create valutazioni, segui questi passaggi:

        1. Fai clic sul pulsante di attivazione/disattivazione Questa è una chiave di test.
        2. Nella casella Punteggio, specifica un punteggio compreso tra 0 e 1,0.
      4. Fai clic su Crea chiave.

      La chiave appena creata è elencata nella pagina chiavi reCAPTCHA.

    Crea chiavi reCAPTCHA della casella di controllo

    1. Espandi la sezione Web application firewall (WAF), Verifica del dominio, Pagine AMP e richiesta di verifica.
    2. Per proteggere la chiave reCAPTCHA per il tuo dominio e i tuoi sottodomini, assicurati che l'opzione Disattiva verifica dominio sia disattivata.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non presenta limitazioni, perciò la chiave reCAPTCHA è accessibile e utilizzata da chiunque.

    3. Attiva l'opzione Utilizza la verifica con casella di controllo.
    4. Seleziona l'opzione Sfida la sicurezza appropriata.

      L'opzione di sicurezza della verifica controlla la probabilità che a un utente venga richiesto di eseguire una verifica secondaria in cui agli utenti viene chiesto di selezionare le immagini in base a una categoria identificata (ad esempio, selezionare le immagini con una moto o le scale).

      Se vuoi garantire la migliore protezione antifrode, seleziona Difficoltà più elevata (più sicura contro i bot).

      Se selezioni Verifica più semplice, è meno probabile che agli utenti venga richiesta la verifica visiva.

    5. Per il tuo ambiente non di produzione, se vuoi specificare un punteggio che vuoi che la chiave restituisca quando vengono create valutazioni, segui questi passaggi:

      1. Fai clic sul pulsante di attivazione/disattivazione Questa è una chiave di test.
      2. Nella casella Punteggio, specifica un punteggio compreso tra 0 e 1,0.
      3. Seleziona l'opzione Tipo di sfida appropriata.
        • A volte la verifica viene visualizzata Automatica.
        • Nessun CAPTCHA non mostra un test.
        • Sfida non risolvibile mostra le immagini, ma la sfida non è stata superata.
      4. Fai clic su Crea chiave.

      La chiave appena creata è elencata nella pagina chiavi reCAPTCHA.

gcloud

Per creare le chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:

  • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
  • INTEGRATION_TYPE: tipo di integrazione. A seconda del tipo di chiavi, specifica i seguenti valori:
    • score per le chiavi basate sul punteggio.
    • checkbox per le chiavi delle caselle di controllo.
  • DOMAIN_NAME: domini o sottodomini di siti web autorizzati a utilizzare la chiave.

    Specifica più domini come elenco separato da virgole.

    Per utilizzare una chiave su più di 250 domini, specifica --allow-all-domains per disattivare la verifica del dominio. reCAPTCHA ignorerà quindi l'elenco di domini. Devi eseguire la verifica del dominio autonomamente esaminando il campo tokenProperties.hostname nelle valutazioni che crei.

    La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non presenta limitazioni, perciò la chiave reCAPTCHA è accessibile e utilizzata da chiunque.

Esegui il comando gcloud recaptcha keys create:

Linux, macOS o Cloud Shell


gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)


gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)


gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

La risposta contiene la chiave reCAPTCHA appena creata.

REST

Per informazioni di riferimento delle API sui tipi di chiave e di integrazione, consulta Chiave e Tipo di integrazione.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
  • INTEGRATION_TYPE: tipo di integrazione. A seconda del tipo di chiavi, specifica i seguenti valori:
    • score per le chiavi basate sul punteggio.
    • checkbox per le chiavi delle caselle di controllo.
  • DOMAIN_NAME: domini o sottodomini di siti web autorizzati a utilizzare la chiave.

    Specifica più domini come elenco separato da virgole.

    Per utilizzare una chiave su più di 250 domini, specifica --allow-all-domains per disattivare la verifica del dominio. reCAPTCHA ignorerà quindi l'elenco di domini. Devi eseguire la verifica del dominio autonomamente esaminando il campo tokenProperties.hostname nelle valutazioni che crei.

    La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non presenta limitazioni, perciò la chiave reCAPTCHA è accessibile e utilizzata da chiunque.

Metodo HTTP e URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Corpo JSON della richiesta: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Facoltativo) Trova una chiave secret reCAPTCHA legacy

Se vuoi eseguire l'integrazione con un'applicazione di terze parti che non utilizza l'API reCAPTCHA Enterprise, hai bisogno della chiave segreta precedente.

Per ogni chiave del sito che crei, reCAPTCHA crea una chiave secret reCAPTCHA legacy (chiave secret legacy), che puoi utilizzare con la tua applicazione di terze parti.

Per trovare la chiave segreta precedente:

  1. Nella console Google Cloud, vai alla pagina reCAPTCHA.

    Vai a reCAPTCHA

  2. Nella sezione Chiavi reCAPTCHA, trova la chiave reCAPTCHA che hai creato e fai clic sulla chiave.

  3. Nella pagina Dettagli chiave, nella scheda Integrazione, fai clic su Utilizza chiave precedente. Si apre una finestra di dialogo con le istruzioni su come utilizzare la chiave segreta precedente.

Passaggi successivi