Caputchin
Site-Keys

Überblick

Ein Site-Key ist die Anmeldedatei, die dein Widget mit Caputchin verbindet. Du erstellst einen in einem Team, und jeder Key ist ein Wertepaar plus seine eigenen Einstellungen, Statistik und Historie.

Ein Key oder mehrere?

Die meisten Seiten brauchen nur einen. Erstell einen separaten Key, wenn du eine Fläche eigenständig messen oder justieren willst:

  • Einen pro Umgebung (Staging und Produktion), damit Test-Traffic deine echte Statistik nicht trübt.
  • Einen pro Formular oder Produkt, wenn du für jedes eigenständige Statistik oder andere Sicherheit-Einstellungen willst.

Keys im selben Team teilen sich standardmäßig einen Satz Spiel-Anpassung (ein Key kann ihn in seinen eigenen Einstellungen überschreiben), also geht es beim Aufteilen meist darum, Einstellungen und Statistik zu isolieren. Im Zweifel fang mit einem an und teil später auf.

Einen Key erstellen

  1. Öffne dein Team und geh zu Site-Keys.
  2. Klick Site-Key erstellen, gib ihm einen Namen und klick Erstellen. Mehr als einen Namen verlangt er nicht.

Das liefert die zwei Werte zurück, die du überall sonst verwendest:

WertSieht aus wieWohin er gehört
Public Keycpt_pub_...Das sitekey-Attribut des Widgets, in deiner Seite. Sicher im Browser.
Secretcpt_sec_...Dein Server, im /siteverify-Aufruf. Liefer es nie an den Browser.

Das Secret wird einmal gezeigt, bei der Erstellung, also kopier es dann. Der Public Key ist danach immer auf der Integration-Seite des Keys sichtbar, die auch fertig einzufügende Embed-Snippets zeigt.

Name

Der Name eines Keys ist ein Label für deinen eigenen Gebrauch, auf der Einstellungen-Seite des Keys unter Identifikation. Er erscheint nicht im Widget und beeinflusst die Verifizierung nicht, also benenn ihn um, wann immer du willst.

Status: aktivieren und deaktivieren

Jeder Key hat einen Aktiviert-Schalter auf seiner Einstellungen-Seite. Ein deaktivierter Key lehnt jeden /siteverify-Aufruf ab, sodass die Verifizierung sofort stoppt, ohne etwas zu löschen. Deaktivier einen Key, wenn du von einem geleakten Deployment weg rotierst, und aktivier ihn wieder, wenn du bereit bist.

Das Secret rotieren

Rotier das Secret von der Einstellungen-Seite, wann immer du glaubst, es könnte geleakt sein. Die Rotation ist sofort: Das neue Secret funktioniert auf der Stelle und das alte verifiziert sofort nicht mehr, ohne Überlappungsfenster. Der Public Key bleibt unverändert, also braucht nur dein Backend den neuen Wert. Roll ihn zügig aus, damit laufende Verifizierungen weiter gelingen.

Einen Key löschen

Löschen ist endgültig. Auf der Einstellungen-Seite entfernt Site-Key löschen den Key und seine Verifizierungskonfiguration, und die Verifizierung stoppt sofort. Du tippst den Namen des Keys (oder seinen Public Key) zur Bestätigung, und es kann nicht rückgängig gemacht werden. Willst du einen Key nur pausieren, deaktivier ihn stattdessen.

Einstellungen mit eigener Seite

  • Sicherheit: CORS-Origins, erforderliche Header, Proof-of-Work-Schwierigkeit, Bot-Blockierung und das Rate-Limit.
  • Statistik und Sessions: der Verifizierungs-Funnel und das Log pro Session.
  • Audit-Logs: eine Aufzeichnung der Änderungen am Key.

Siehe auch

Ein Spiel aus dem Marketplace hinzufügen

Zurück

Sicherheit

Weiter

Auf dieser Seite

Ein Key oder mehrere?Einen Key erstellenNameStatus: aktivieren und deaktivierenDas Secret rotierenEinen Key löschenEinstellungen mit eigener SeiteSiehe auch