Crie chaves reCAPTCHA para Websites

Esta página explica como criar chaves do reCAPTCHA (também conhecidas como chaves) para validar as interações dos utilizadores nas suas páginas Web.

As chaves reCAPTCHA representam a forma como o reCAPTCHA está configurado para um Website. A configuração inclui opções importantes, como se devem apresentar desafios CAPTCHA.

Antes de começar

Crie uma chave reCAPTCHA

Não existe um limite para o número de chaves reCAPTCHA que pode criar para um Google Cloud projeto. É melhor criar uma chave do reCAPTCHA por Website.

Recomendamos que crie chaves do reCAPTCHA separadas para ambientes de teste e de produção. Caso contrário, corre o risco de poluir a análise de risco do reCAPTCHA com dados do seu ambiente de teste.

A forma mais simples de criar uma chave do reCAPTCHA é através da consola de administração do reCAPTCHA. Em alternativa, pode usar a Google Cloud consola, a API reCAPTCHA Enterprise ou a CLI Google Cloud.

Consola do administrador

  1. Aceda à consola do administrador do reCAPTCHA.

    Aceda à consola de administração do reCAPTCHA

  2. No campo Etiqueta, introduza um nome que possa usar para identificar o seu site.
  3. Se quiser criar uma chave baseada em pontuação, selecione Com base em pontuação (v3). Se quiser criar uma chave de caixa de verificação, selecione Desafio (v2).
  4. Para adicionar um domínio, introduza o nome do domínio e clique em .

    Para adicionar outro domínio, pode repetir este passo. Pode adicionar um máximo de 250 domínios.

  5. Se for a primeira vez que usa a Google Cloud consola, leia os Termos de Utilização e selecione a caixa de verificação.
  6. Clique em Enviar.

Se for a primeira vez que usa a Google Cloud consola, é criado um Google Cloud projeto e as APIs necessárias são ativadas para começar. Se já tiver um Google Cloud projeto, as APIs necessárias estão ativadas para que possa começar.

Cloud Console

  1. Na Google Cloud consola, aceda à página reCAPTCHA.

    Aceder ao reCAPTCHA

  2. Verifique se o nome do seu projeto é apresentado no seletor de recursos na parte superior da página.

    Se não vir o nome do seu projeto, clique no seletor de recursos e, de seguida, selecione o seu projeto.

  3. Clique em Criar chave.
  4. No campo Nome a apresentar, introduza um nome a apresentar para a chave.
  5. Para o Tipo de aplicação, selecione Web.

    É apresentada a secção Lista de domínios.

  6. Para proteger a chave do reCAPTCHA para o seu domínio e subdomínios, certifique-se de que o botão Desativar validação de domínio está desativado.

    A desativação da validação de domínio é um risco de segurança porque não existem restrições no site, pelo que qualquer pessoa pode aceder e usar a sua chave do reCAPTCHA.

  7. Introduza o nome do domínio do seu Website:

    1. Na secção Lista de domínios, clique em Adicionar um domínio.
    2. No campo Domínio, introduza o nome do seu domínio.

    3. Opcional: para adicionar um domínio adicional, clique em Adicionar um domínio e introduza o nome de outro domínio no campo Domínio. Pode adicionar um máximo de 250 domínios.

      Para Websites, a chave do reCAPTCHA é exclusiva dos domínios e subdomínios que especificar. Pode especificar mais do que um domínio se publicar o seu Website a partir de vários domínios. Se especificar um domínio (por exemplo, examplepetstore.com), não precisa de especificar os respetivos subdomínios (por exemplo, subdomain.examplepetstore.com).

      Para usar uma chave em mais de 250 domínios, clique no botão Desativar validação de domínios. Em seguida, o reCAPTCHA ignora a lista de domínios. Tem de realizar a validação de domínio examinando o campo tokenProperties.hostname nos formulários de avaliação que criar.

  8. Consoante o tipo de chave do reCAPTCHA que quer criar para o seu Website, execute a ação adequada:

    9. Crie chaves reCAPTCHA baseadas em pontuação

    1. Se quiser permitir que a chave baseada em pontuação funcione com Accelerated Mobile Pages (AMP), ative o botão Permitir a esta chave funcionar com páginas AMP.

    2. Para o seu ambiente de não produção, se quiser especificar uma classificação que a chave devolva quando forem criadas avaliações para este, faça o seguinte:

      1. Clique em Passo seguinte (opcional)
      2. No passo Definições adicionais, clique no botão Está a criar esta chave apenas para fins de teste?.
      3. Use o controlo de deslize Definir pontuação para especificar uma pontuação entre 0 e 1,0.
    3. Clique em Criar chave.

    A chave criada recentemente é apresentada na página Chaves do reCAPTCHA.

    Crie chaves reCAPTCHA de caixa de verificação

    1. Clique em Passo seguinte (opcional).
    2. No passo Definições adicionais, ative a opção Vai usar desafios? ativar/desativar.
    3. Selecione a opção Desafiar segurança adequada.

      A opção de segurança de desafio controla a probabilidade de um utilizador receber um desafio secundário no qual os utilizadores são solicitados a selecionar imagens com base numa categoria identificada (por exemplo, selecionar as imagens com uma mota ou escadas).

      Se quiser garantir a melhor proteção antifraude, selecione Difícil.

      Se selecionar Fácil, é menos provável que seja apresentado aos utilizadores o desafio visual.

    4. Para o seu ambiente de não produção, se quiser especificar uma classificação que a chave devolva quando forem criadas avaliações para este, faça o seguinte:

      1. Clique no botão Está a criar esta chave apenas para fins de teste?
      2. Use o controlo de deslize Definir pontuação para especificar uma pontuação entre 0 e 1,0.
      3. Selecione a opção Tipo de desafio adequada.
        • Por vezes, a opção Automático apresenta o desafio.
        • O No CAPTCHA não apresenta um desafio.
        • Desafio não resolvível: mostra as imagens, mas o desafio não é aprovado.
      4. Clique em Criar chave.

      A chave criada recentemente é apresentada na página Chaves do reCAPTCHA.

    Crie chaves reCAPTCHA de desafio baseadas em políticas

    1. Clique em Passo seguinte (opcional).
    2. No passo Definições adicionais, ative a opção Vai usar desafios? ativar/desativar.
    3. Selecione a opção Desafiar segurança adequada.

      A opção de segurança de desafio define a complexidade e a frequência dos desafios CAPTCHA apresentados ao utilizador.

      Se quiser garantir a melhor proteção antifraude, selecione Difícil.

      Se selecionar Fácil, é menos provável que os utilizadores recebam pedidos com menos desafios CAPTCHA e menos complexos.

    4. Para o seu ambiente de não produção, se quiser especificar uma classificação para a chave a devolver quando forem criadas avaliações para a mesma, faça o seguinte:

      1. Clique no botão Está a criar esta chave apenas para fins de teste?
      2. Use o controlo de deslize Definir pontuação para especificar uma pontuação entre 0 e 1,0.
    5. Selecione o limite da pontuação para acionar desafios CAPTCHA, que é aplicável a todas as ações.
    6. Clique em Criar chave.

    A chave criada recentemente é apresentada na página Chaves do reCAPTCHA.

gcloud

Para criar chaves do reCAPTCHA, use o comando gcloud recaptcha keys create.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • INTEGRATION_TYPE: tipo de integração. Consoante o tipo de chaves, especifique os seguintes valores:
    • score para chaves baseadas em pontuação.
    • checkbox para chaves de caixas de verificação.
    • policy-based-challenge para chaves de desafio baseadas em políticas. Esta funcionalidade está em pré-visualização.
  • DISPLAY_NAME: nome da chave. Normalmente, um nome do site.
  • DOMAIN_NAME: domínios ou subdomínios de Websites autorizados a usar a chave.

    Especifique vários domínios como uma lista separada por vírgulas.

    Para usar uma chave em mais de 250 domínios, especifique --allow-all-domains para desativar a validação de domínios. Em seguida, o reCAPTCHA ignora a lista de domínios. Tem de realizar a validação de domínio examinando o campo tokenProperties.hostname nos formulários de avaliação que criar.

    A desativação da validação de domínio é um risco de segurança porque não existem restrições no site, pelo que qualquer pessoa pode aceder e usar a sua chave do reCAPTCHA.

  • DEFAULT_SCORE_THRESHOLD: para chaves de desafio baseadas em políticas, isto define o limite de desafio universal para a chave quando não é definido um limite de pontuação personalizado. Esta funcionalidade está em pré-visualização.
  • ACTION_SCORE_THRESHOLDS: para chaves de desafio baseadas em políticas, isto especifica a ação e a pontuação de limite correspondente entre 0,0 e 1,0. Por exemplo, login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'. Esta funcionalidade está em pré-visualização.

Execute o comando gcloud recaptcha keys create:

Linux, macOS ou Cloud Shell

gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME \

Windows (PowerShell)

gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME `

Windows (cmd.exe)

gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME ^

A resposta contém a chave reCAPTCHA recém-criada.

REST

Para ver informações de referência da API sobre tipos de chaves e tipos de integração, consulte Chave e Tipo de integração.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • INTEGRATION_TYPE: tipo de integração. Consoante o tipo de chaves, especifique os seguintes valores:
    • SCORE para chaves baseadas em pontuação.
    • CHECKBOX para chaves de caixas de verificação.
    • POLICY_BASED_CHALLENGE para chaves de desafio baseadas em políticas. Esta funcionalidade está em pré-visualização
  • DISPLAY_NAME: nome da chave. Normalmente, um nome do site.
  • DOMAIN_NAME: domínios ou subdomínios de Websites autorizados a usar a chave.

    Especifique vários domínios como uma lista separada por vírgulas.

    Para usar uma chave em mais de 250 domínios, especifique --allow-all-domains para desativar a validação de domínios. Em seguida, o reCAPTCHA ignora a lista de domínios. Tem de realizar a validação de domínio examinando o campo tokenProperties.hostname nos formulários de avaliação que criar.

    A desativação da validação de domínio é um risco de segurança porque não existem restrições no site, pelo que qualquer pessoa pode aceder e usar a sua chave do reCAPTCHA.

  • DEFAULT_SCORE_THRESHOLD: para chaves de desafio baseadas em políticas, isto define o limite de desafio universal para a chave quando não é definido um limite de pontuação personalizado. Esta funcionalidade está em pré-visualização.
  • ACTION_SCORE_THRESHOLDS: para chaves de desafio baseadas em políticas, isto especifica a ação e a pontuação de limite correspondente entre 0,0 e 1,0. Por exemplo, login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'. Esta funcionalidade está em pré-visualização.
  • DEFAULT_SCORE_THRESHOLD: para chaves de desafio baseadas em políticas, isto define o limite de desafio universal para a chave quando não é definido um limite de pontuação personalizado. Esta funcionalidade está em pré-visualização.
  • ACTION_SCORE_THRESHOLDS: para chaves de desafio baseadas em políticas, isto especifica a ação e a pontuação de limite correspondente entre 0,0 e 1,0. Por exemplo, login='{"scoreThreshold": "0.3"}',signup='{"scoreThreshold": "0.1"}'. Esta funcionalidade está em pré-visualização.

Método HTTP e URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Corpo JSON do pedido: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "INTEGRATION_TYPE"
  }
}

Para enviar o seu pedido, escolha uma destas opções:

curl

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Opcional) Encontre uma chave secreta do reCAPTCHA antigo

Se quiser fazer a integração com uma aplicação de terceiros que não use a API reCAPTCHA Enterprise, precisa da chave secreta antiga.

Para cada chave de site que criar, o reCAPTCHA cria uma chave secreta do reCAPTCHA antiga (chave secreta antiga), que pode usar com a sua aplicação de terceiros.

Se precisar da chave secreta de uma chave do reCAPTCHA clássico, então migre a chave para o reCAPTCHA no Google Cloud e encontre a chave secreta antiga.

Para encontrar a chave secreta antiga, faça o seguinte:

  1. Na Google Cloud consola, aceda à página reCAPTCHA.

    Aceder ao reCAPTCHA

  2. Na secção Chaves do reCAPTCHA, encontre a chave do reCAPTCHA que criou e clique na chave.

  3. Na página Detalhes da chave, no separador Integração, clique em Usar chave antiga. É aberta uma caixa de diálogo com instruções sobre como usar a chave secreta antiga.

O que se segue?