Visão geral
Uma chave de site é a credencial que liga seu widget ao Caputchin. Você cria uma dentro de uma equipe, e cada chave é um par de valores mais suas próprias configurações, estatísticas e histórico.
Uma chave ou várias?
A maioria dos sites precisa de só uma. Crie uma chave separada quando quiser uma superfície medida ou ajustada por conta própria:
- Uma por ambiente (staging e produção) para que o tráfego de teste não enturve suas estatísticas reais.
- Uma por formulário ou produto quando quiser estatísticas independentes, ou configurações de segurança diferentes, para cada um.
As chaves na mesma equipe compartilham um conjunto de personalização de jogo por padrão (uma chave pode sobrescrevê-lo nas suas próprias configurações), então dividir costuma ser sobre isolar configurações e estatísticas. Na dúvida, comece com uma e divida depois.
Crie uma chave
- Abra sua equipe e vá para Chaves de site.
- Clique em Criar chave de site, dê a ela um nome e clique em Criar. Um nome é tudo o que ele pede.
Isso retorna os dois valores que você vai usar em todo o resto:
| Valor | Parece com | Onde vai |
|---|---|---|
| Chave pública | cpt_pub_... | O atributo sitekey do widget, na sua página. Seguro no navegador. |
| Segredo | cpt_sec_... | Seu servidor, na chamada /siteverify. Nunca o envie ao navegador. |
O segredo é mostrado uma vez, na criação, então copie-o ali. A chave pública fica sempre visível depois na página de Integração da chave, que também mostra trechos de embed prontos para colar.
Nome
O nome de uma chave é um rótulo para o seu próprio uso, na página de Configurações da chave, em Identificação. Ele não aparece no widget e não afeta a verificação, então renomeie-o quando quiser.
Status: ativar e desativar
Cada chave tem um botão Ativada na sua página de Configurações. Uma chave desativada rejeita toda chamada /siteverify, então a verificação para na hora sem excluir nada. Desative uma chave quando estiver rotacionando para longe de uma implantação vazada, e ative-a de novo quando estiver pronto.
Rotacione o segredo
Rotacione o segredo pela página de Configurações sempre que achar que ele pode ter vazado. A rotação é imediata: o novo segredo funciona na hora e o antigo para de verificar imediatamente, sem janela de sobreposição. A chave pública não muda, então só o seu backend precisa do novo valor. Implante-o sem demora para que as verificações em andamento continuem dando certo.
Exclua uma chave
Excluir é permanente. Na página de Configurações, Excluir chave de site remove a chave e sua configuração de verificação, e a verificação para imediatamente. Você digita o nome da chave (ou sua chave pública) para confirmar, e não dá para desfazer. Se você só quer pausar uma chave, desative-a em vez disso.
Configurações com página própria
- Segurança: origens de CORS, cabeçalhos exigidos, dificuldade do proof-of-work, bloqueio de bots e o limite de taxa.
- Estatísticas e sessões: o funil de verificação e o log por sessão.
- Registros de auditoria: um registro das mudanças feitas na chave.