Esta página foi traduzida pela API Cloud Translation.

Como criar chaves reCAPTCHA

Esta página explica como criar chaves reCAPTCHA, também conhecidas como chaves de site, para verificar as interações de usuários nas páginas da Web e aplicativos para dispositivos móveis.

As chaves de site reCAPTCHA representam como o reCAPTCHA Enterprise está configurado para um site ou app. A configuração inclui opções importantes, como a exibição de testes de CAPTCHA. As chaves de site reCAPTCHA são diferentes das chaves de API.

Antes de começar

Escolha o melhor método para configurar o reCAPTCHA Enterprise no ambiente e conclua a configuração.
Escolha o tipo de chave adequado. Saiba mais sobre as chaves reCAPTCHA.

Como criar uma chave de site

Não há limite no número de chaves reCAPTCHA que podem ser criadas para um projeto. É melhor criar uma chave reCAPTCHA por site ou app para dispositivos móveis.

Crie chaves de site separadas para ambientes de preparação e produção. Caso contrário, você corre o risco de poluir a análise de risco reCAPTCHA com dados do seu ambiente de teste.

A maneira mais simples de criar uma chave de site é pelo console do Google Cloud. Como alternativa, é possível usar a API reCAPTCHA Enterprise ou a Google Cloud CLI.

Console

No console do Google Cloud, acesse a página reCAPTCHA Enterprise.

Acessar o reCAPTCHA Enterprise
Verifique se o nome do projeto aparece no seletor de recursos, na parte superior da página.

Se você não vir o nome do projeto, clique no seletor de recursos para selecioná-lo.
Clique em Criar chave.
No campo Nome de exibição, insira um nome de exibição para a chave.
Crie uma chave de site para um site ou plataforma para dispositivos móveis. Para ver instruções, expanda a seção que corresponde à sua plataforma.

Criar chaves para sites

É possível criar chaves baseadas em pontuação e de caixas de seleção para sites.

No menu suspenso Escolher o tipo de plataforma, selecione Site.

A seção Lista de domínios é exibida.
Insira o nome do domínio do seu site:

Se você quiser criar uma chave de site da página de desafio, pule esta etapa.
1. Na seção Lista de domínios, clique em Adicionar um domínio.
2. No campo Domínio, digite o nome do seu domínio.
3. Opcional: para adicionar outro domínio, clique em Adicionar um domínio e digite o nome de outro domínio no campo Domínio. É possível adicionar até 250 domínios.
  
  Para sites, a chave de site reCAPTCHA é exclusiva para domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).
Dependendo do tipo de chave do site que você quer criar, realize as ações apropriadas:
- Para criar uma chave de site com base em pontuação (recomendado), faça o seguinte:
  Observação: criar uma chave de site com base em pontuação é a opção padrão no Console do Google Cloud.
  1. Opcional: se você quiser desativar a verificação de domínio ou permitir páginas AMP, expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
    1. Para proteger a chave de site reCAPTCHA para seu domínio e subdomínios, verifique se a opção Desativar verificação de domínio está desativada.
      Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Por isso, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.
      
      Quando você desativa a verificação de domínio para as chaves de site da página de desafio, o Google Cloud Armor verifica o domínio.
    2. Se você quiser que a chave de site com base em pontuação funcione com a tecnologia Accelerated Mobile Pages (AMP), ative a opção Permitir que essa chave funcione com páginas AMP.
    3. Para seu ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada, faça o seguinte:
      1. Clique no botão de alternância Esta é uma chave de teste.
      2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
    4. Clique em Criar chave.
    A chave recém-criada é listada na página Chaves reCAPTCHA.
  2. Para criar umachave de site com caixa de seleção para mostrar um teste visível aos usuários, faça o seguinte:
    Não recomendamos usar chaves de site com caixa de seleção porque elas aumentam o atrito do usuário sem melhorar significativamente a precisão.
    1. Expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
    2. Para proteger a chave de site reCAPTCHA para seu domínio e subdomínios, verifique se a opção Desativar verificação de domínio está desativada.
      Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Por isso, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.
      
      Quando você desativa a verificação de domínio para as chaves de site da página de desafio, o Google Cloud Armor verifica o domínio.
    3. Ative a opção Usar o desafio da caixa de seleção.
    4. Selecione a opção de Teste de segurança apropriada.
      A opção de teste de segurança controla a probabilidade de um usuário receber um teste secundário, em que os usuários precisam selecionar imagens com base em uma categoria identificada. Por exemplo, selecionar as imagens com uma motocicleta ou escadas.
      
      Se você quiser garantir a melhor proteção antifraude, selecione a dificuldade maior (mais seguro contra bots).
      
      Se você selecionar a dificuldade mais fácil, a probabilidade de receber o teste visual será menor.
    5. Para seu ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada, faça o seguinte:
      1. Clique no botão de alternância Esta é uma chave de teste.
      2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
      3. Selecione a opção Tipo de desafio apropriada.
        Automático exibe o desafio algumas vezes.
        
        Nenhum CAPTCHA não mostra um desafio.
        
        Desafio insolúvel mostra as imagens, mas o desafio não foi aprovado.
      4. Clique em Criar chave.
      A chave recém-criada é listada na página Chaves reCAPTCHA.

Criar chaves de sites para o firewall de aplicativos da Web (WAF)

Você pode criar chaves WAF para sites. Para criar uma chave de firewall de aplicativos da Web (WAF), faça o seguinte:

No menu suspenso Escolher o tipo de plataforma, selecione Site.

A seção Lista de domínios é exibida.
Insira o nome do domínio do seu site:

Se você quiser criar uma chave de site da página de desafio, pule esta etapa.
1. Na seção Lista de domínios, clique em Adicionar um domínio.
2. No campo Domínio, digite o nome do seu domínio.
3. Opcional: para adicionar outro domínio, clique em Adicionar um domínio e digite o nome de outro domínio no campo Domínio. É possível adicionar até 250 domínios.
  
  Para sites, a chave de site reCAPTCHA é exclusiva para domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).
Expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
Ative a opção Firewall de aplicativos da Web (WAF).
No menu suspenso Recurso, selecione o tipo de chave WAF que você quer criar.
Nas chaves de site da página do desafio, ative Desativar verificação de domínio. Para chaves de site de token de ação e token de sessão, essa etapa é opcional.

Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Por isso, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

Quando você desativa a verificação de domínio para as chaves de site da página de desafio, o Google Cloud Armor verifica o domínio.
Opcional: para chaves de site de tokens de ação, ative Usar desafio da caixa de seleção.
Clique em Criar chave.

A chave recém-criada é listada na página Chaves reCAPTCHA.

Criar chaves de site para aplicativos de dispositivos móveis

Em aplicativos para dispositivos móveis, só é possível criar chaves de site baseadas em pontuação.

No menu suspenso Escolha o tipo de plataforma, selecione app Android ou app iOS.
Dependendo da plataforma selecionada, insira os pacotes do Android ou os IDs do pacote iOS.
Se você selecionou App Android, faça o seguinte:
1. Na seção Lista de pacote do Android, clique em Adicionar pacote do Android.
2. No campo pacote do Android, insira o nome do pacote do Android.
3. (Opcional) Para incluir outro pacote, clique em Adicionar pacote do Android e digite o nome de outro pacote no campo Pacote do Android.
4. Opcional: para verificar os nomes de pacotes, faça o seguinte:
  1. Expanda Verificação do nome do pacote.
  2. Para proteger a chave de site do reCAPTCHA para seus IDs de pacotes, confira se a opção Desativar a verificação de nome de pacote está desativada.
  3. Para seu ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada, faça o seguinte:
    1. Clique no botão de alternância Esta é uma chave de teste.
    2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
Se você selecionou App iOS, faça o seguinte:
1. Na seção Lista de ID do pacote do iOS, clique em Adicionar ID do pacote do iOS.
2. No campo ID do pacote, insira o nome do ID do pacote do iOS.
3. Opcional: para incluir mais um ID do pacote, clique em Adicionar ID do pacote do iOS e digite o nome dele no campo ID do pacote.
4. Opcional: para verificar os IDs dos pacotes, faça o seguinte:
  1. Expanda a Verificação do ID do pacote.
  2. Para proteger a chave de site do reCAPTCHA para seus IDs de pacotes, confira se a opção Desativar a verificação de ID do pacote está desativada.
  3. Para seu ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada, faça o seguinte:
    1. Clique no botão de alternância Esta é uma chave de teste.
    2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
Nos aplicativos para dispositivos móveis, a chave de site reCAPTCHA é exclusiva para os nomes de pacote especificados (por exemplo, com.google.recaptcha.test).
Clique em Criar chave.

A chave recém-criada é listada na página Chaves reCAPTCHA.

gcloud CLI

Para criar chaves, use o comando gcloud recaptcha Keys create:

Para criar chaves para sites, use o seguinte comando:
```
   gcloud recaptcha keys create \
      --web \
      --display-name=DISPLAY_NAME  \
      --waf-feature=WAF_FEATURE \
      --waf-service=WAF_SERVICE \
      --integration-type=INTEGRATION_TYPE \
      --domains=DOMAIN_NAME
  
```
Forneça os valores a seguir:
- DISPLAY_NAME: o nome da chave. Geralmente, um nome de site.
- WAF_FEATURE (somente para chaves de sites WAF): nome do recurso WAF. Os valores possíveis são os seguintes: challenge-page, action-token e session-token.
  Observação:só é possível usar uma chave de site WAF para o recurso correspondente. Por exemplo, é possível usar a chave do site de token de ação somente para o token de ação reCAPTCHA. Essa chave não pode ser usada para outros sites e plataformas móveis.
- WAF_SERVICE (somente para chaves de sites WAF): nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.
- INTEGRATION_TYPE: tipo de integração. Dependendo do tipo de chave, especifique os seguintes valores:
  - SCORE para chaves de sites com base em pontuação.
  - CHECKBOX para chaves de sites da caixa de seleção.
  - INVISIBLE para chaves de sites de página de desafio.
  - SCORE ou CHECKBOX para chaves de sites de token de ação.
  - SCORE para chaves de site de token de sessão.
  Observação: não recomendamos usar CHECKBOX porque isso aumenta o atrito do usuário e não melhora significativamente a precisão. Para mais informações, consulte as perguntas frequentes.
- DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave. Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: para chaves de sites WAF, especifique --allow-all-domains para desativar a verificação de domínio.
  Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Por isso, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.
  
  Quando você desativa a verificação de domínio para as chaves de site da página de desafio, o Google Cloud Armor verifica o domínio.
  
  Observação:a chave do site reCAPTCHA é exclusiva para os domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).
Para criar chaves para apps Android, use o seguinte comando:
```
    gcloud recaptcha keys create \
      --android --package-names=PACKAGE_NAMES \
      --display-name=DISPLAY_NAME
    
```
Forneça os valores a seguir:
- DISPLAY_NAME: o nome da chave. Geralmente, o nome de um app.
- PACKAGE_NAMES: nomes de pacotes do Android de apps autorizados a usar a chave. Para especificar vários nomes de pacotes, use um formato de lista separada por vírgulas.
Se você quiser criar uma chave para apps iOS, use o seguinte comando:
```
    gcloud recaptcha keys create \
      --ios --bundle-ids=BUNDLE_IDs \
      --display-name=DISPLAY_NAME
    
```
Forneça os valores a seguir:
- DISPLAY_NAME: o nome da chave. Geralmente, o nome de um app.
- BUNDLE_IDs: os IDs do pacote de apps iOS autorizados a usar a chave. Para especificar vários IDs de pacote, use um formato de lista separada por vírgulas.

No exemplo a seguir, mostramos um exemplo de saída de como criar uma chave usando o comando gcloud recaptcha keys create.

  Created [6Ld3howaAAAAAFYDMsLz2nWFXhsnmBjdrBra5_Bq].

REST

Para informações de referência da API sobre tipos de integração e chave, consulte Chave e Tipo de integração.

Antes de usar os dados da solicitação, faça as substituições a seguir:

PROJECT_ID: é o ID do projeto do Google Cloud.
DISPLAY_NAME: nome de exibição da chave
WAF_SERVICE: nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.
WAF_FEATURE: nome do recurso WAF.
Dependendo do tipo de chave, especifique challenge-page, action-token ou session-token.

Observação:só é possível usar uma chave WAF do site reCAPTCHA para o recurso correspondente. Essa chave não pode ser usada para outros sites e plataformas móveis.
DOMAINS (somente para sites e WAF): domínios ou subdomínios de sites com permissão para usar a chave. Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: especifique --allow-all-domains para desativar a verificação de domínio.
Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Por isso, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

Quando você desativa a verificação de domínio para as chaves de site da página de desafio, o Google Cloud Armor verifica o domínio.

Observação:a chave do site reCAPTCHA é exclusiva para os domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).
TYPE_OF_INTEGRATION (somente para sites e WAF): dependendo do tipo de chave, especifique os seguintes valores:
- SCORE para chaves de sites com base em pontuação.
- CHECKBOX para chaves de sites da caixa de seleção.
- INVISIBLE para chaves de sites de página de desafio.
- SCORE ou CHECKBOX para chaves de sites de token de ação.
- SCORE para chaves de site de token de sessão.
Observação: não recomendamos usar CHECKBOX porque isso aumenta o atrito do usuário e não melhora significativamente a precisão. Para mais informações, consulte as perguntas frequentes.
PACKAGE_NAMES (somente para apps Android): nomes de pacotes de apps Android autorizados a usar a chave. Para especificar vários nomes de pacotes, use um formato de lista separada por vírgulas.
BUNDLE_IDs (somente para apps iOS): os IDs do pacote de apps iOS autorizados a usar a chave. Para especificar vários IDs de pacote, use um formato de lista separada por vírgulas.

Método HTTP e URL:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Corpo JSON da solicitação:


To create keys for websites:
{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

To create keys for WAF:

{
   "displayName": "DISPLAY_NAME",
    'wafSettings': "  {
        "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
   }
   "webSettings": {
     "allowedDomains": "DOMAINS",
     "integrationType": "TYPE_OF_INTEGRATION"
    }
}

To create keys for Android apps:
{
  "displayName": "DISPLAY_NAME",
  "androidSettings": {
  "allowedPackageNames":"PACKAGE_NAMES"
  }
}

To create keys for iOS apps:

{
  "displayName": "DISPLAY_NAME",
  "iosSettings": {
   "allowedBundleIds":"BUNDLE_IDs"

  }
}

Para enviar a solicitação, escolha uma destas opções:

curl

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente a CLI gcloud É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo chamado request.json e execute o seguinte comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Salve o corpo da solicitação em um arquivo chamado request.json e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:


{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Opcional) Encontrar uma chave secreta legada do reCAPTCHA

Se você quiser fazer a integração com um aplicativo terceirizado que usa a versão não empresarial do reCAPTCHA, precisará da chave secreta legada.

Para cada chave de site que você criar, o reCAPTCHA Enterprise cria uma chave secreta legada, que pode ser usada com seu aplicativo de terceiros.

Para encontrar a chave secreta legada, faça o seguinte:

No console do Google Cloud, acesse a página reCAPTCHA Enterprise.

Acessar o reCAPTCHA Enterprise
Na seção Enterprise Keys, encontre a chave de site que você criou e clique nela.
Na página Detalhes da chave, expanda a Chave secreta legada do reCAPTCHA.

A seguir

Instale chaves de site baseadas em pontuação ou chaves de site com caixa de seleção em páginas da Web.
Integre chaves móveis em apps iOS ou apps Android.
Implementar a integração do reCAPTCHA Enterprise para WAF e Google Cloud Armor