En esta página, se explica cómo crear claves de reCAPTCHA (también conocidas como claves) para verificar las interacciones de los usuarios en tus páginas web.
Las claves de reCAPTCHA representan la configuración de reCAPTCHA para un sitio web. La configuración incluye opciones importantes, como si se deben mostrar desafíos de reCAPTCHA.
Antes de comenzar
- Prepara tu entorno para reCAPTCHA.
- Asegúrate de tener el siguiente rol de Identity and Access Management: Administrador de reCAPTCHA Enterprise (
roles/recaptchaenterprise.admin
). - Elige el tipo de clave que mejor se adapte a tu caso de uso.
Crea una clave de reCAPTCHA
No hay límite en la cantidad de claves de reCAPTCHA que puedes crear para un proyecto de Google Cloud. Lo mejor es crear una clave de reCAPTCHA por sitio web.
Te recomendamos crear claves de reCAPTCHA independientes para los entornos de etapa de pruebas y producción. De lo contrario, corres el riesgo de contaminar el análisis de riesgos de reCAPTCHA con datos de tu entorno de pruebas.
La forma más sencilla de crear una clave de reCAPTCHA es a través de la consola de administración de reCAPTCHA. Como alternativa, puedes usar la consola de Google Cloud, la API de reCAPTCHA Enterprise o Google Cloud CLI.
Consola del administrador
Ve a la Consola del administrador de reCAPTCHA.
- En el campo Etiqueta, ingresa un nombre que puedas usar para identificar tu sitio.
- Si quieres crear una clave basada en puntuaciones, selecciona Basado en una puntuación (v3). Si deseas crear una clave de casilla de verificación, selecciona Desafío (v2).
- Para agregar un dominio, ingresa su nombre y haz clic en
Para agregar un dominio adicional, puedes repetir este paso. Puedes agregar hasta 250 dominios.
.
- Si es la primera vez que usas la consola de Google Cloud, lee las condiciones del servicio y selecciona la casilla de verificación.
- Haz clic en Enviar.
Si es la primera vez que usas la consola de Google Cloud, se creará un proyecto de Google Cloud y se habilitarán las APIs necesarias para que comiences a usarlo. Si ya tienes un proyecto de Google Cloud, las APIs necesarias están habilitadas para que puedas comenzar a usarlo.
Consola de Cloud
En la consola de Google Cloud, ve a la página reCAPTCHA.
Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.
Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.
- Haz clic en Crear clave.
- En el campo Nombre visible, ingresa un nombre visible para la clave.
- En el menú Elegir tipo de plataforma, selecciona Sitio web.
Aparecerá la sección Lista de dominios.
-
Ingresa el nombre de dominio de tu sitio web:
- En la sección Lista de dominios, haz clic en Agregar un dominio.
- En el campo Dominio, ingresa el nombre de tu dominio.
Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro dominio en el campo Dominio. Puedes agregar hasta un máximo de 250 dominios.
En el caso de los sitios web, la clave de reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de un dominio si publicas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo,
examplepetstore.com
), no es necesario que especifiques sus subdominios (por ejemplo,subdomain.examplepetstore.com
).Para usar una clave en más de 250 dominios, haz clic en el botón de activación Inhabilitar la verificación de dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo
tokenProperties.hostname
en las evaluaciones que crees.
- Según el tipo de clave de reCAPTCHA que quieras crear para tu sitio web, realiza la acción adecuada:
- Opcional: Si quieres inhabilitar la verificación del dominio o permitir páginas de AMP, expande la sección Firewall de aplicación web (WAF), verificación de dominios, páginas de AMP y desafío.
-
Para proteger la clave de reCAPTCHA de tu dominio y subdominios, asegúrate de que la opción Inhabilitar verificación de dominio esté desactivada.
Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- Si deseas permitir que la clave basada en la puntuación funcione con las páginas para dispositivos móviles (AMP), activa el botón de activación Permitir que esta clave funcione con páginas de AMP.
En el caso de tu entorno que no es de producción, si deseas especificar una puntuación que deseas que la clave muestre cuando se creen evaluaciones para ella, haz lo siguiente:
- Haz clic en el botón de activación Esta es una clave de prueba.
- En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
- Haz clic en Crear clave.
La clave recién creada aparecerá en la página Claves de reCAPTCHA.
-
Para proteger la clave de reCAPTCHA de tu dominio y subdominios, asegúrate de que la opción Inhabilitar verificación de dominio esté desactivada.
- Expande la sección Firewall de aplicación web (WAF), verificación de dominios, páginas de AMP y desafío.
-
Para proteger la clave de reCAPTCHA de tu dominio y subdominios, asegúrate de que la opción Inhabilitar verificación de dominio esté desactivada.
Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
- Activa el botón de activación Usar el desafío de la casilla de verificación.
- Selecciona la opción de seguridad de desafío adecuada.
La opción de seguridad del desafío controla la probabilidad de que se solicite a un usuario un desafío secundario en el que se le solicita que seleccione imágenes según una categoría identificada (por ejemplo, seleccione las imágenes con una motocicleta o escaleras).
Si deseas garantizar la mejor protección contra fraudes, selecciona Dificultad mayor (más segura contra bots).
Si seleccionas Dificultad mínima del desafío, es menos probable que se les solicite a los usuarios que realicen el desafío visual.
-
Para tu entorno que no es de producción, si deseas especificar una puntuación que deseas que la clave muestre cuando se creen evaluaciones para ella, haz lo siguiente:
- Haz clic en el botón de activación Esta es una clave de prueba.
- En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
- Selecciona la opción de Tipo de desafío correspondiente.
- A veces, Auto muestra el desafío.
- Sin CAPTCHA no muestra ningún desafío.
- En el desafío que no se puede resolver, se muestran las imágenes, pero no se pasa el desafío.
- Haz clic en Crear clave.
La clave recién creada aparecerá en la página Claves de reCAPTCHA.
Crea claves de reCAPTCHA basadas en puntuación
Crea claves de reCAPTCHA con cuadros de verificación
gcloud
Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Según el tipo de claves, especifica los siguientes valores:
score
para claves basadas en la puntuación.checkbox
para las claves de casillas de verificación.
- DOMAIN_NAME: Dominios o subdominios de sitios web autorizados para usar la clave.
Especifica varios dominios como una lista separada por comas.
Para usar una clave en más de 250 dominios, especifica
--allow-all-domains
para inhabilitar la verificación del dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campotokenProperties.hostname
en las evaluaciones que crees.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
Ejecuta el comando gcloud recaptcha keys create:
Linux, macOS o Cloud Shell
gcloud recaptcha keys create \ --web \ --display-name=DISPLAY_NAME \ --integration-type=INTEGRATION_TYPE \ --domains=DOMAIN_NAME
Windows (PowerShell)
gcloud recaptcha keys create ` --web ` --display-name=DISPLAY_NAME ` --integration-type=INTEGRATION_TYPE ` --domains=DOMAIN_NAME
Windows (cmd.exe)
gcloud recaptcha keys create ^ --web ^ --display-name=DISPLAY_NAME ^ --integration-type=INTEGRATION_TYPE ^ --domains=DOMAIN_NAME
La respuesta contiene la clave de reCAPTCHA recién creada.
REST
Para obtener información de referencia de la API sobre los tipos de claves y los tipos de integración, consulta Clave y Tipo de integración.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
- INTEGRATION_TYPE: Tipo de integración.
Según el tipo de claves, especifica los siguientes valores:
score
para claves basadas en la puntuación.checkbox
para las claves de casillas de verificación.
- DOMAIN_NAME: Son dominios o subdominios de sitios web autorizados para usar la clave.
Especifica varios dominios como una lista separada por comas.
Para usar una clave en más de 250 dominios, especifica
--allow-all-domains
para inhabilitar la verificación del dominio. Luego, reCAPTCHA ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campotokenProperties.hostname
en las evaluaciones que crees.Inhabilitar la verificación de dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.
Método HTTP y URL:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys
Cuerpo JSON de la solicitud:
{ "displayName": "DISPLAY_NAME", "webSettings": { "allowedDomains": "DOMAINS", "integrationType": "TYPE_OF_INTEGRATION" } }
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
{ "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m", "displayName": "DISPLAY_NAME", "webSettings": { "allowAllDomains": false, "allowedDomains": [ DOMAINS ], "allowAmpTraffic": false, "integrationType": "SCORE", "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED" } }
Cómo encontrar una clave secreta de reCAPTCHA heredada (opcional)
Si quieres realizar la integración en una aplicación de terceros que no usa la API de reCAPTCHA Enterprise, necesitas la clave secreta heredada.
Para cada clave de sitio que crees, reCAPTCHA crea una clave secreta de reCAPTCHA heredada (clave secreta heredada), que puedes usar con tu aplicación de terceros.
Para encontrar la clave secreta heredada, haz lo siguiente:
En la consola de Google Cloud, ve a la página reCAPTCHA.
En la sección Claves de reCAPTCHA, busca la clave de reCAPTCHA que creaste y haz clic en ella.
En la página Detalles de la clave, en la pestaña Integración, haz clic en Usar clave heredada. Se abrirá un diálogo con instrucciones para usar la clave secreta heredada.
¿Qué sigue?
- Instala claves basadas en puntuaciones en tus páginas web.
- Instala claves de casillas de verificación en tus páginas web.