Criar chaves reCAPTCHA para sites

Nesta página, explicamos como criar chaves reCAPTCHA (também conhecidas como chaves) para verificar as interações do usuário nas suas páginas da Web.

As chaves reCAPTCHA representam como o reCAPTCHA Enterprise é configurado para um site. A configuração inclui opções importantes, como exibir ou não os desafios de CAPTCHA.

Antes de começar

Criar uma chave reCAPTCHA

Não há limite para o número de chaves reCAPTCHA que podem ser criadas para um projeto do Google Cloud. É melhor criar uma chave reCAPTCHA por site.

Recomendamos a criação de chaves reCAPTCHA separadas para ambientes de preparo e produção. Caso contrário, você corre o risco de poluir a análise de risco do reCAPTCHA com dados do ambiente de teste.

A maneira mais simples de criar uma chave reCAPTCHA é usando o console do Google Cloud. Como alternativa, é possível usar a API reCAPTCHA Enterprise ou a Google Cloud CLI.

Console

  1. No console do Google Cloud, acesse a página reCAPTCHA Enterprise.

    Acessar o reCAPTCHA Enterprise

  2. Verifique se o nome do projeto aparece no seletor de recursos, na parte superior da página.

    Se você não vir o nome do projeto, clique no seletor de recursos para selecioná-lo.

  3. Clique em Criar chave.

  4. No campo Nome de exibição, insira um nome de exibição para a chave.

  5. No menu Escolher tipo de plataforma, selecione Site.

    A seção Lista de domínios é exibida.

  6. Insira o nome do domínio do seu site:

    1. Na seção Lista de domínios, clique em Adicionar um domínio.

    2. No campo Domínio, digite o nome do seu domínio.

    3. Opcional: para adicionar outro domínio, clique em Adicionar um domínio e digite o nome de outro domínio no campo Domínio. É possível adicionar até 250 domínios.

      Para sites, a chave reCAPTCHA é exclusiva para os domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).

  7. Dependendo do tipo de chave reCAPTCHA que você quer criar para seu site, faça a ação adequada:

    8. Criar chaves reCAPTCHA baseadas em pontuação

    1. Opcional: se você quiser desativar a verificação de domínio ou permitir páginas AMP, expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
      1. Para proteger a chave reCAPTCHA do seu domínio e subdomínios, confira se a opção Desativar verificação de domínio está desativada.

        Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

      2. Se você quiser permitir que a chave com base em pontuação funcione com Accelerated Mobile Pages (AMP), ative a opção Permitir que esta chave funcione com páginas AMP.

      3. Para o ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada para ele, faça o seguinte:

        1. Clique no botão de alternância This is a Testing key.
        2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
      4. Clique em Criar chave.

      A chave recém-criada é listada na página Chaves reCAPTCHA.

    Criar chaves reCAPTCHA da caixa de seleção

    1. Expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
    2. Para proteger a chave reCAPTCHA do seu domínio e subdomínios, confira se a opção Desativar verificação de domínio está desativada.

      Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

    3. Ative a opção Usar o desafio da caixa de seleção.
    4. Selecione a opção de Teste de segurança apropriada.

      A opção de teste de segurança controla a probabilidade de um usuário receber um teste secundário, em que os usuários precisam selecionar imagens com base em uma categoria identificada. Por exemplo, selecionar as imagens com uma motocicleta ou escadas.

      Se você quiser garantir a melhor proteção antifraude, selecione Dificuldade mais difícil (mais seguro contra bots).

      Se você selecionar Dificuldade mais fácil, é menos provável que os usuários recebam o desafio visual.

    5. Para o ambiente de não produção, se você quiser especificar uma pontuação que quer que a chave retorne quando qualquer avaliação for criada para ele, faça o seguinte:

      1. Clique no botão de alternância This is a Testing key.
      2. Na caixa Score, especifique uma pontuação entre 0 e 1,0.
      3. Selecione a opção adequada para o Tipo de desafio.
        • Às vezes, o desafio Automático aparece.
        • Não CAPTCHA não indica um desafio.
        • O desafio Insolvable mostra as imagens, mas o desafio não foi aprovado.
      4. Clique em Criar chave.

      A chave recém-criada é listada na página Chaves reCAPTCHA.

gcloud

Para criar chaves reCAPTCHA, use o comando gcloud recaptchakeys create.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
  • INTEGRATION_TYPE: tipo de integração. Dependendo do tipo de chave, especifique os seguintes valores:
    • score para chaves baseadas em pontuação.
    • checkbox para chaves de caixa de seleção.
  • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

    Para especificar vários domínios, use um formato de lista separada por vírgulas.

    Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

Execute o comando gcloud recaptchakeys create:

Linux, macOS ou Cloud Shell


gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)


gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)


gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

A resposta contém a chave reCAPTCHA recém-criada.

REST

Para informações de referência da API sobre tipos de integração e chave, consulte Chave e Tipo de integração.

Antes de usar os dados da solicitação, faça as substituições a seguir:

  • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
  • INTEGRATION_TYPE: tipo de integração. Dependendo do tipo de chave, especifique os seguintes valores:
    • score para chaves baseadas em pontuação.
    • checkbox para chaves de caixa de seleção.
  • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

    Para especificar vários domínios, use um formato de lista separada por vírgulas.

    Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

Método HTTP e URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Corpo JSON da solicitação: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Para enviar a solicitação, escolha uma destas opções:

curl

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir: 

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Opcional) Encontrar uma chave secreta legada do reCAPTCHA

Se você quiser fazer a integração com um aplicativo de terceiros que usa a versão não corporativa do reCAPTCHA, vai precisar da chave secreta legada.

Para cada chave de site que você criar, o reCAPTCHA Enterprise vai gerar uma chave secreta legada do reCAPTCHA (chave secreta legada), que pode ser usada com seu aplicativo de terceiros.

Para encontrar a chave secreta legada, faça o seguinte:

  1. No console do Google Cloud, acesse a página reCAPTCHA Enterprise.

    Acessar o reCAPTCHA Enterprise

  2. Na seção Chaves empresariais, encontre a chave reCAPTCHA que você criou e clique nela.

  3. Na página Key Details, na guia Integration, clique em Use Legacy Key. Uma caixa de diálogo é aberta com instruções sobre como usar a chave secreta legada.

A seguir