Integra reCAPTCHA Enterprise para WAF con Fastly

En este documento, se muestra cómo integrar reCAPTCHA Enterprise para WAF con Fastly.

Para completar la integración, debes implementar una o más funciones de reCAPTCHA Enterprise para WAF, crear políticas de firewall de reCAPTCHA y, luego, integrarlas al servicio de procesamiento de Fastly.

Antes de comenzar

  1. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

    Registra tu ID del proyecto de Google Cloud para usarlo más adelante.

  2. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  3. Habilita la API de reCAPTCHA Enterprise.

    Habilita la API

  4. Crea una clave de API para la autenticación:

    1. En la consola de Google Cloud, ve a la página Credenciales.

      Ir a Credenciales

    2. Haz clic en Crear credenciales y selecciona Clave de API.

    3. Registra la clave de API para usarla más adelante.

  5. Planifica cómo deseas implementar las funciones de reCAPTCHA Enterprise para WAF y proteger tu sitio web.

    1. Elige una o más funciones de WAF que mejor se adapten a tu caso de uso.
    2. Identifica las páginas que deseas proteger y el tipo de función de WAF que quieres implementar en ellas.
    3. Identifica las condiciones para permitir o bloquear el acceso.
    4. Comprende los componentes de la política de firewall de reCAPTCHA y sus atributos, que te ayudan a crear políticas de firewall de reCAPTCHA. Para ver ejemplos, consulta Ejemplos de políticas de firewall de reCAPTCHA.

  6. Descarga el paquete de reCAPTCHA para Fastly recaptcha_fastly_client_0.1.0.tar.gz.

  7. Crea una cuenta de Fastly con las funciones de Compute@Edge.

Implementa funciones de reCAPTCHA Enterprise para WAF

Según tus requisitos, puedes usar una o más funciones de reCAPTCHA Enterprise para WAF en una sola aplicación.

Si deseas usar más de una función, debes crear una clave de reCAPTCHA para cada una de ellas y usarlas en tu aplicación. Por ejemplo, si deseas usar tokens de acción de reCAPTCHA y la página de desafío de reCAPTCHA, debes crear una clave de token de acción y una clave de página de desafío, y usarlas en tu aplicación.

token-acción

Debes ejecutar reCAPTCHA Enterprise en tus páginas web para generar tokens de acción. Después de que reCAPTCHA Enterprise genere un token de acción, debes adjuntarlo a un encabezado de solicitud predefinido donde necesites proteger cualquier acción del usuario, como checkout. De forma predeterminada, los tokens de acción son válidos durante 30 minutos, pero pueden variar según el tráfico. Debes adjuntar el token de acción a un encabezado de solicitud predefinido antes de que venza el token, de modo que Fastly pueda evaluar los atributos del token.

Para implementar un token de acción de reCAPTCHA, haz lo siguiente:

  1. Crea una clave de token de acción para tu sitio web.

    gcloud

    Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
    • INTEGRATION_TYPE: Tipo de integración. Especifica score o checkbox.
    • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

      Especifica varios dominios en una lista separada por comas. Opcional: Especifica --allow-all-domains para inhabilitar la verificación del dominio.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    • WAF_FEATURE: Nombre de la función de WAF. Especifica action-token.
    • WAF_SERVICE: Nombre del proveedor de servicios de WAF. Especifica fastly para Fastly.

    Ejecuta el comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La respuesta contiene la clave de reCAPTCHA recién creada.

    REST

    Para obtener información de referencia de la API sobre tipos de claves y tipos de integración, consulta Clave y Tipo de integración.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
    • INTEGRATION_TYPE: Tipo de integración. Especifica score o checkbox.
    • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

      Especifica varios dominios en una lista separada por comas. Opcional: Especifica --allow-all-domains para inhabilitar la verificación del dominio.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    • WAF_FEATURE: Nombre de la función de WAF. Especifica action-token.
    • WAF_SERVICE: Nombre del proveedor de servicios de WAF. Especifica fastly para Fastly.

    Método HTTP y URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Cuerpo JSON de la solicitud: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Para enviar tu solicitud, elige una de estas opciones:

    curl

    Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "ACTION_TOKEN"
  
}
}

    Registra tu clave de token de acción para usarla más adelante.

  2. Integra reCAPTCHA JavaScript en tus páginas web con la clave de token de acción que creaste. Para obtener instrucciones, consulta el documento correspondiente al tipo de integración de tu clave de token de acción.
  3. Después de recibir el token de reCAPTCHA Enterprise, adjunta el token a un encabezado de solicitud predefinido en el siguiente formato: 
     X-Recaptcha-Token: value-of-your-action-token

    Puedes usar lenguajes como XHR, Ajax o la API de Fetch para adjuntar el token a un encabezado de solicitud predefinido.

    En la siguiente secuencia de comandos de ejemplo, se muestra cómo proteger la acción execute y adjuntar el token a un encabezado de solicitud predefinido mediante JavaScript y XHR:

      
  <script>
    src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>

    <script>
    function onSuccess(action_token) {
         const xhr = new XMLHttpRequest();
         xhr.open('GET','YOUR_URL', false);
         // Attach the action-token to the predefined request header
         xhr.setRequestHeader("X-Recaptcha-Token", action_token);
         xhr.send(null);
       }
       function onError(reason) {
         alert('Response promise rejected: ' + reason);
       grecaptcha.enterprise.ready(function () {
         document.getElementById("execute-button").onclick = () => {
           grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
           }).then(onSuccess, onError);
         };
       });
      }
    </script>

token-sesión

reCAPTCHA JavaScript establece un token de sesión de reCAPTCHA como una cookie en el navegador del usuario final después de la evaluación. El navegador del usuario final adjunta la cookie y la actualiza, siempre y cuando el JavaScript de reCAPTCHA permanezca activo.

Para proporcionar un token de sesión como cookie, instala una clave de token de sesión en al menos una de tus páginas web que el usuario final explore antes de la página que debe protegerse. Por ejemplo, si deseas proteger la página de confirmación de compras, instala una clave de token de sesión en la página principal o en la del producto.

Si deseas obtener información para instalar claves de token de sesión en tus páginas web, consulta Integra claves basadas en puntuaciones con el frontend.

Puedes usar esta cookie para proteger las solicitudes y cargas de página posteriores del usuario final en un dominio específico. De forma predeterminada, los tokens de sesión son válidos durante 30 minutos. Sin embargo, si el usuario final permanece en la página donde implementaste el token de sesión, reCAPTCHA Enterprise actualiza el token de sesión de forma periódica para evitar que venza.

Instala tokens de sesión en cada página que deba protegerse con reCAPTCHA Enterprise. Te recomendamos proteger todas las páginas con reCAPTCHA Enterprise y usar las reglas de Google Cloud Armor para aplicar el acceso a todas las páginas, excepto a la primera que exploran los usuarios finales.

El siguiente es un token de sesión de reCAPTCHA de muestra: 
   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

Para implementar un token de sesión de reCAPTCHA, haz lo siguiente:

  1. Crea una clave de token de sesión para tu sitio web.

    gcloud

    Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
    • INTEGRATION_TYPE: Tipo de integración. Especifica score.
    • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

      Especifica varios dominios en una lista separada por comas. Opcional: Especifica --allow-all-domains para inhabilitar la verificación del dominio.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    • WAF_FEATURE: Nombre de la función de WAF. Especifica session-token.
    • WAF_SERVICE: Nombre del proveedor de servicios de WAF. Especifica fastly para Fastly.

    Ejecuta el comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La respuesta contiene la clave de reCAPTCHA recién creada.

    REST

    Para obtener información de referencia de la API sobre tipos de claves y tipos de integración, consulta Clave y Tipo de integración.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
    • INTEGRATION_TYPE: Tipo de integración. Especifica score.
    • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

      Especifica varios dominios en una lista separada por comas. Opcional: Especifica --allow-all-domains para inhabilitar la verificación del dominio.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    • WAF_FEATURE: Nombre de la función de WAF. Especifica session-token.
    • WAF_SERVICE: Nombre del proveedor de servicios de WAF. Especifica fastly para Fastly.

    Método HTTP y URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Cuerpo JSON de la solicitud: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Para enviar tu solicitud, elige una de estas opciones:

    curl

    Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "SESSION_TOKEN"
  
}
}

    Registra tu clave de token de sesión para usarla más adelante.

  2. Agrega la clave de token de sesión y waf=session al código JavaScript de reCAPTCHA.

    En la siguiente secuencia de comandos de ejemplo, se muestra cómo implementar un token de sesión en una página web:

    
<!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>reCAPTCHA WAF Session Token</title>
 <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
 <body></body>
</head>
</html>

challenge-page

When you implement a reCAPTCHA challenge page, reCAPTCHA Enterprise redirects to an interstitial page where it determines if it's necessary to show a CAPTCHA challenge to a user. Therefore, CAPTCHA challenges might not be visible to all users.

To implement a reCAPTCHA challenge page, do the following:

  1. Create a challenge-page key for your website.

    gcloud

    To create reCAPTCHA keys, use the gcloud recaptcha keys create command.

    Before using any of the command data below, make the following replacements:

    • DISPLAY_NAME: Name for the key. Typically a site name.
    • INTEGRATION_TYPE: Type of integration. Specify invisible.
    • DOMAIN_NAME: Domains or subdomains of websites allowed to use the key. Specify --allow-all-domains.
    • WAF_FEATURE: Name of the WAF feature. Specify challenge-page.
    • WAF_SERVICE: Name of the WAF service provider. Specify fastly for Fastly.

    Execute the gcloud recaptcha keys create command:

    Linux, macOS, or Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La respuesta contiene la clave de reCAPTCHA recién creada.

REST

Para obtener información de referencia de la API sobre tipos de claves y tipos de integración, consulta Clave y Tipo de integración.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
  • INTEGRATION_TYPE: Tipo de integración. Especifica invisible.
  • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave. Especifica --allow-all-domains.
  • WAF_FEATURE: Nombre de la función de WAF. Especifica challenge-page.
  • WAF_SERVICE: Nombre del proveedor de servicios de WAF. Especifica fastly para Fastly.

Método HTTP y URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Cuerpo JSON de la solicitud: 


{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:


{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",
 
},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "CHALLENGE_PAGE"
  
}
}

Anota la clave de la página de desafío para usarla más adelante.

  • Para redireccionar a los usuarios a la página de desafío de reCAPTCHA y recibir un token de reCAPTCHA, crea una política de firewall con la acción redirect en las páginas protegidas.

    • exprés

    Para implementar la protección exprés de reCAPTCHA WAF, crea una clave exprés.

    1. En la consola de Google Cloud, activa Cloud Shell.

      Activar Cloud Shell

      En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

    2. gcloud

      Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

      Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

      • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
      • INTEGRATION_TYPE: Tipo de integración. Especifica score.
      • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave. Especifica --allow-all-domains.
      • WAF_FEATURE: Nombre de la función de WAF. Especifica express.
      • WAF_SERVICE: Nombre del proveedor de servicios de WAF.

      Ejecuta el comando gcloud recaptcha keys create:

      Linux, macOS o Cloud Shell

      
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

      Windows (PowerShell)

      
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

      Windows (cmd.exe)

      
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

      La respuesta contiene la clave de reCAPTCHA recién creada.

      REST

      Para obtener información de referencia de la API sobre tipos de claves y tipos de integración, consulta Clave y Tipo de integración.

      Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

      • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
      • INTEGRATION_TYPE: Tipo de integración. Especifica score.
      • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave. Especifica --allow-all-domains.
      • WAF_FEATURE: Nombre de la función de WAF. Especifica express.
      • WAF_SERVICE: Nombre del proveedor de servicios de WAF.

      Método HTTP y URL: 

      POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

      Cuerpo JSON de la solicitud: 

      
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

      Para enviar tu solicitud, elige una de estas opciones:

      curl

      Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

      PowerShell

      Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

      Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

      
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "EXPRESS"

}
}

      Graba tu clave exprés para usarla más adelante.

    Crea políticas de firewall de reCAPTCHA

    Debes crear una política de firewall que especifique reglas para cada página que quieras proteger en tu sitio web. Puedes crear políticas de firewall con una o más funciones de reCAPTCHA Enterprise para WAF.

    En la política de firewall de reCAPTCHA, agrega reglas en el orden de la prioridad deseada. La primera regla tiene el orden más alto. También puedes reordenar la prioridad con ReorderFirewallPoliciesRequest. En el caso de una solicitud entrante, cuando una condición de política coincide con la ruta de acceso especificada, tu proveedor de servicios de WAF implementa la acción definida y no se evalúan las reglas posteriores.

    1. Según las funciones que elijas, haz lo siguiente:
      • Identifica la ruta que quieres proteger.
      • Identifica las condiciones para permitir, redireccionar o bloquear el acceso.
      • Prioriza las reglas.
    2. Comprende los componentes de la política de firewall y sus atributos.

    3. En la consola de Google Cloud, activa Cloud Shell.

      Activar Cloud Shell

      En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

    4. Para anular gcloud CLI y acceder a la versión preliminar pública de la API de reCAPTCHA Enterprise, ejecuta el siguiente comando: 
          gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
    5. Para crear políticas de firewall de reCAPTCHA, usa el comando gcloud recaptcha firewall-policies create:

      En tu política de firewall de reCAPTCHA, agrega reglas en el orden de la prioridad deseada. Primero debes agregar una regla con la prioridad más alta. En el caso de una solicitud entrante, cuando una condición de política coincide con la ruta especificada, tu proveedor de servicios de WAF implementa la acción definida y no se evalúan las reglas posteriores. La regla predeterminada es permitir el acceso.

         gcloud recaptcha firewall-policies create \
      --actions=ACTION \
      --condition=CONDITION \
      --description=DESCRIPTION \
      --path=PATH

      Ingresa los siguientes valores:

      • ACTION: Son las acciones que tu proveedor de servicios de WAF debe realizar para la solicitud entrante. Puede contener como máximo una acción de la terminal, que es una acción que fuerza una respuesta. Especifica una de las siguientes acciones:
        • allow: Permite el acceso a la página solicitada. Esta es una acción terminal.
        • block: Deniega el acceso a la página solicitada. Esta es una acción terminal.
        • redirect: Redirecciona la solicitud del usuario entrante a la página de desafío de reCAPTCHA. Esta es una acción terminal.
        • substitute: Muestra una página diferente a la solicitada para una solicitud de usuario fraudulenta. Esta es una acción terminal.
        • set_header: Establece un encabezado personalizado y permite que la solicitud del usuario entrante continúe al backend. Luego, el backend puede activar una protección personalizada. Esta acción no es definitiva.
      • CONDITION: Es una expresión condicional de CEL (Common Expression Language) que especifica si la política de firewall de reCAPTCHA se aplica a una solicitud de usuario entrante. Si esta condición se evalúa como verdadera y la ruta solicitada coincide con el patrón de ruta, el proveedor de servicios de WAF ejecuta las acciones asociadas. Se verifica la precisión de la sintaxis de CEL durante la creación de la string de condición. Para obtener más información sobre la definición del lenguaje, consulta la definición del lenguaje CEL.
      • DESCRIPTION: Es una descripción de lo que se pretende lograr con la política de firewall de reCAPTCHA. La descripción debe tener como máximo 256 caracteres UTF-8.
      • PATH: Es la ruta de acceso a la que se aplica la política de firewall de reCAPTCHA. Debe especificarse como un patrón glob. Para obtener más información sobre glob, consulta la página del manual.

      Después de la ejecución correcta del comando, se muestra un resultado similar al siguiente:

           Created [100].

      En el siguiente ejemplo, se crea una política de firewall de reCAPTCHA para bloquear la segmentación del tráfico de `/example/page.html` cuando la puntuación es inferior a 0.1.

         gcloud recaptcha firewall-policies create \
     --description="example policy" \
     --path="/example/page.html" \
     --condition="recaptcha.score < 0.1" \
     --actions="block"

    Integración en el servicio de procesamiento con Fastly

    Si quieres usar las políticas de firewall de reCAPTCHA, debes configurar un servicio de procesamiento con Fastly para interceptar y procesar solicitudes.

    Puedes crear y configurar un servicio de procesamiento nuevo o integrar las políticas de firewall de reCAPTCHA en un servicio de Fastly existente mediante el encadenamiento. Si deseas usar el encadenamiento, el servicio de reCAPTCHA debe ser el servicio ascendente más alejado de Fastly o cualquier otro proxy para lograr una detección de IP correcta.

    Para crear un servicio de procesamiento, debes tener la siguiente información:

    • El nombre de su dominio
    • Paquete de reCAPTCHA para FASTLY en formato ZIP
    • Nombre de origen de tu servidor de backend
    • Nombre de origen del servidor de backend de reCAPTCHA Enterprise: Recaptcha Enterprise
    • Nombre de origen del servidor de backend de Google: Google
    • La clave de API que creaste para la autenticación
    • El ID del proyecto de Google Cloud
    • Las claves de reCAPTCHA que creaste para tus funciones de WAF

    Para configurar un servicio Fastly con políticas de firewall de reCAPTCHA, haz lo siguiente:

    1. Accede a Fastly.

    2. Si quieres crear un servicio de procesamiento, sigue las instrucciones en Crea un servicio de procesamiento nuevo.

      Cuando crees un servicio de procesamiento, haz lo siguiente:

      • A fin de crear un origen para el servidor de backend de reCAPTCHA Enterprise, especifica los siguientes valores:

        • Nombre de tu origen = Recaptcha Enterprise
        • Dirección IP (o nombre de host) del servidor de origen = public-preview-recaptchaenterprise.googleapis.com

      • A fin de crear un origen para el servidor de backend de Google, especifica los siguientes valores:

        • Nombre de tu origen = Google
        • Dirección IP (o nombre de host) del servidor de origen = www.google.com:443

      • A fin de crear un origen para tu servidor de backend, especifica los siguientes valores:

        • Nombre de tu origen = Cualquier nombre significativo para tu servidor de backend.
        • La dirección IP (o el nombre de host) del servidor de origen = el nombre de host para el servidor de backend

      • Sube el paquete de reCAPTCHA para Fastly recaptcha_fastly_client_0.1.0.tar.gz.

      • Usa recaptcha como el nombre de tu diccionario y agrega la siguiente información como pares clave-valor en el diccionario:

        Clave Valor
        customer_backend_name El nombre que asignaste cuando creaste el origen para el servidor de backend.
        recaptcha_backend_name reCAPTCHA Enterprise
        google_backend_name Google
        cloud_api_key La clave de API que creaste para la autenticación.
        cloud_project_number Tu ID del proyecto de Google Cloud.
        action_site_key Clave de token de acción de reCAPTCHA WAF. Esta clave es obligatoria si usas tokens de acción para proteger tus páginas.
        session_site_key Clave de token de sesión WAF de reCAPTCHA. Esta clave es obligatoria si usas tokens de sesión para proteger tus páginas.
        challengepage_site_key Clave de página de desafío de reCAPTCHA WAF. Esta clave es obligatoria si usas la página de desafío de reCAPTCHA para proteger tus páginas.
        express_site_key Clave exprés de reCAPTCHA WAF. Esta clave es obligatoria si usas el código WAF de reCAPTCHA para proteger tus páginas.

    ¿Qué sigue?