Crea claves de reCAPTCHA para sitios web

En esta página, se explica cómo crear claves de reCAPTCHA (también conocidas como claves) para verificar las interacciones de los usuarios en tus páginas web.

Las claves de reCAPTCHA representan la configuración de reCAPTCHA para un sitio web. La configuración incluye opciones importantes, como si se deben mostrar desafíos de reCAPTCHA.

Antes de comenzar

Crea una clave de reCAPTCHA

No hay límite en la cantidad de claves de reCAPTCHA que puedes crear para un proyecto de Google Cloud. Es mejor crear uno clave reCAPTCHA por sitio web.

Recomendamos crear claves de reCAPTCHA por separado para la etapa de pruebas entornos de producción. De lo contrario, corres el riesgo de contaminar el reCAPTCHA el análisis de riesgos con datos del entorno de pruebas.

La forma más sencilla de crear una clave de reCAPTCHA es mediante Consola del administrador de reCAPTCHA. Como alternativa, puedes usar la consola de Google Cloud, la API de reCAPTCHA Enterprise o Google Cloud CLI.

Consola del administrador

  1. Ve a la Consola del administrador de reCAPTCHA.

    Ve a la Consola del administrador de reCAPTCHA

  2. En el campo Etiqueta, ingresa un nombre que puedas usar para identificar tu sitio.
  3. Si deseas crear una clave basada en la puntuación, selecciona Score based (v3). Si deseas crear una clave de casilla de verificación, selecciona Desafío (v2).
  4. Para agregar un dominio, ingresa su nombre y haz clic en .

    Para agregar un dominio adicional, puedes repetir este paso. Puedes agregar hasta 250 dominios.

  5. Si es la primera vez que usas la consola de Google Cloud, lee las Condiciones del Servicio y selecciona la casilla de verificación.
  6. Haz clic en Enviar.

Si es la primera vez que usas la consola de Google Cloud, se creará un proyecto de Google Cloud y se habilitarán las APIs necesarias para que comiences a usarlo. Si ya tienes un proyecto de Google Cloud, las APIs necesarias están habilitadas para que tu proyecto comience.

Consola de Cloud

  1. En la consola de Google Cloud, ve a la página reCAPTCHA.

    Ir a reCAPTCHA

  2. Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.

    Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.

  3. Haz clic en Crear clave.
  4. En el campo Nombre visible, ingresa un nombre visible para la clave.
  5. En el menú Elegir tipo de plataforma, selecciona Sitio web.

    Aparecerá la sección Lista de dominios.

  6. Ingresa el nombre de dominio para tu sitio web:

    1. En la sección Lista de dominios, haz clic en Agregar un dominio.
    2. En el campo Dominio, ingresa el nombre de tu dominio.
    3. Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro dominio en el campo Dominio. Puedes agregar hasta un máximo de 250 dominios.

      En el caso de los sitios web, la clave de reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de uno si publicas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo, examplepetstore.com), no es necesario que especifiques sus subdominios (por ejemplo, subdomain.examplepetstore.com).

      Para usar una clave en más de 250 dominios, haz clic en el botón de activación Inhabilitar la verificación del dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

  7. Según el tipo de clave de reCAPTCHA que quieras crear para tu sitio web, realiza la acción adecuada:
  8. Crea claves de reCAPTCHA basadas en puntuaciones

    1. Opcional: Si quieres inhabilitar la verificación del dominio o permitir las páginas de AMP, Expande el firewall de aplicación web (WAF), la verificación de dominios, las páginas de AMP y el desafío. sección.
      1. Para proteger la clave reCAPTCHA de tu dominio y subdominios, sigue estos pasos: asegúrate de que la opción Inhabilitar la verificación del dominio el botón de activación está desactivado.

        Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

      2. Si quieres permitir que la clave basada en la puntuación funcione Accelerated Mobile Pages (AMP), activa la opción Permitir esta clave para trabajar con páginas de AMP.
      3. En el caso de tu entorno que no es de producción, si deseas especificar una puntuación que deseas que la clave muestre cuando se creen evaluaciones para ella, haz lo siguiente:

        1. Haz clic en el botón de activación Esta es una clave de prueba.
        2. En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
      4. Haz clic en Crear clave.

      La clave recién creada aparecerá en la página Claves de reCAPTCHA.

    Crea claves de reCAPTCHA con casilla de verificación

    1. Expande la sección Firewall de aplicación web (WAF), verificación de dominios, páginas de AMP y desafío.
    2. Para proteger la clave reCAPTCHA de tu dominio y subdominios, sigue estos pasos: asegúrate de que la opción Inhabilitar la verificación del dominio el botón de activación está desactivado.

      Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    3. Activa el botón de activación Usar el desafío de la casilla de verificación.
    4. Selecciona la opción de seguridad de desafío adecuada.

      La opción de seguridad del desafío controla la probabilidad de que se solicite a un usuario un desafío secundario en el que se le solicita que seleccione imágenes según una categoría identificada (por ejemplo, seleccione las imágenes con una motocicleta o escaleras).

      Si deseas garantizar la mejor protección contra fraudes, selecciona Dificultad mayor (más segura contra bots).

      Si seleccionas Dificultad mínima del desafío, la cantidad de usuarios será menos el desafío visual.

    5. En tu entorno que no es de producción, si quieres especificar una puntuación, debes para devolver cuando se cree una evaluación para él, haz lo siguiente:

      1. Haz clic en el botón de activación Esta es una clave de prueba.
      2. En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
      3. Selecciona la opción de Tipo de desafío correspondiente.
        • A veces, Auto muestra el desafío.
        • Sin CAPTCHA no muestra ningún desafío.
        • Desafío que no se puede resolver muestra las imágenes, pero no se pasa el desafío.
      4. Haz clic en Crear clave.

      La clave recién creada aparecerá en la página Claves de reCAPTCHA.

gcloud

Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en la puntuación.
    • checkbox para las claves de casillas de verificación.
  • DOMAIN_NAME: Dominios o subdominios de sitios web que tienen permitido el uso la clave.

    Especifica varios dominios como una lista separada por comas.

    Para usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

    Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, para que se pueda acceder a tu clave de reCAPTCHA y usarla por cualquier persona.

Ejecuta el crea claves de recaptcha de gcloud :

Linux, macOS o Cloud Shell

gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)

gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)

gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

La respuesta contiene la clave de reCAPTCHA recién creada.

REST

Para obtener información de referencia de la API sobre los tipos de claves y los tipos de integración, consulta Clave y Tipo de integración.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en la puntuación.
    • checkbox para las claves de casillas de verificación.
  • DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.

    Especifica varios dominios como una lista separada por comas.

    Para usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

    Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

Método HTTP y URL:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Cuerpo JSON de la solicitud:


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

Cómo encontrar una clave secreta de reCAPTCHA heredada (opcional)

Si deseas realizar la integración con una aplicación de terceros que no utiliza el API de reCAPTCHA Enterprise, necesitas la clave secreta heredada.

Por cada clave de sitio que creas, reCAPTCHA crea un clave secreta de reCAPTCHA heredada (heredada), que puedes usar con tu aplicación de terceros.

Para encontrar la clave secreta heredada, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página reCAPTCHA.

    Ve a reCAPTCHA

  2. En la sección Claves de reCAPTCHA, busca el reCAPTCHA. que creaste y haz clic en ella.

  3. En la página Detalles de la clave, en la pestaña Integración, haz clic en Usar clave heredada. Se abrirá un diálogo con instrucciones para usar la clave secreta heredada.

¿Qué sigue?