从 reCAPTCHA 迁移
Caputchin 用和 reCAPTCHA 同样的两段式模型,即页面上一个产出令牌的组件、加一次确认它的服务端检查,所以迁移大多是一次机械的替换,而非一次重写。服务端交换尤其是有意镜像 reCAPTCHA 的 siteverify 形态。这份指南给出每一部分的改前改后。
如果你还没创建一个 Caputchin 账户和站点密钥,就先去 创建你的账户;你会需要一个给页面用的 公钥(cpt_pub_...)和一个给你后端用的 密钥(cpt_sec_...),和 reCAPTCHA 的 site key 与 secret key 同样的划分。
心智模型不变
你已经围绕 reCAPTCHA 建好的一切,即渲染一个组件、收集一个令牌、把它 POST 到你的服务器、在信任请求之前核验它,都留着。只有名字和端点变。
1. 换掉客户端代码片段
| reCAPTCHA(v2 复选框) | Caputchin | |
|---|---|---|
| 脚本 | <script src="https://www.google.com/recaptcha/api.js" async defer> | <script src="https://cdn.jsdelivr.net/npm/@caputchin/widget@3/dist/widget.js"> |
| 元素 | <div class="g-recaptcha" data-sitekey="..."> | <caputchin-widget sitekey="cpt_pub_..."> |
| 表单里的令牌字段 | g-recaptcha-response(自动注入) | caputchin-token(自动注入) |
| 在 JS 里读取令牌 | grecaptcha.getResponse() | pass 事件 的 detail.token |
和 reCAPTCHA 一样,Caputchin 组件 自动注入一个隐藏的令牌字段 进它所在的那个表单,所以如果你的表单本来就做一次普通 POST,你只改那个元素和你后端读取的字段名。完整的客户端设置见 添加组件,CDN 对 npm 的选择。
2. 换掉服务端核验
这是两者最接近的地方,请求和响应的形状几乎逐字段对齐。
| reCAPTCHA | Caputchin | |
|---|---|---|
| 端点 | POST https://www.google.com/recaptcha/api/siteverify | POST https://caputchin.com/api/v1/siteverify |
| 请求字段 | secret、response | secret、response(相同) |
| 响应 | { success, challenge_ts, hostname, "error-codes" } | { success, challenge_ts, hostname, error-codes, score? } |
| 信任规则 | 仅当 success === true 时行动 | 仅当 success === true 时行动(相同) |
在大多数技术栈里,你验证代码唯一的改动就是那个 URL 和那个密钥值。完整的请求/响应参考,包括错误码,在 在你的后端核验一个令牌 上;框架代码片段在 后端示例。
3. 映射分数,如果你用过 reCAPTCHA v3
reCAPTCHA v3 返回一个 score(0.0 到 1.0)并要你挑一个阈值,你是在猜一个请求看起来有多像人。Caputchin 不 那样工作:success 是一个权威的通过/失败,因为验证确实被通过了(一次 proof-of-work 检查,或一个 在服务器上重新推导的游戏回合),不是一个概率。
如果你的代码有 if (data.score >= 0.5),就把它换成 if (data.success)。Caputchin 的 score 字段只为游戏回合存在,并且是 游戏的 分数(信息性的,给你自己的排行榜),绝非一个机器人可能性,所以不要据它把守访问。
这次迁移里什么变得更好
- 不采集访客数据。 reCAPTCHA 给你的访客画像;Caputchin 不采集 IP、User-Agent、指纹或行为遥测,这个协议无处安放一个访客标识符。见 理念。
- 一个组件,而非 v2 对 v3。 没有一个独立的隐形/分数产品要在其间选择;一个元素覆盖复选框和那个可选的游戏。
- 一个可选的游戏。 不再是一格格红绿灯,你可以把验证变成一个你访客真心去玩的简短游戏。见 添加一个游戏。
- 一个严格的 CSP 保持严格。 Caputchin 在一个收紧的 Content-Security-Policy 下运行;你允许少数几个来源,而不是放松你的策略。见 Caputchin 如何沙箱化游戏。
坑
- 两个密钥,两个家。 公钥(
cpt_pub_...)放在页面上;密钥(cpt_sec_...)只留在服务端,恰好是那套 reCAPTCHA 纪律。不要把密钥交付给浏览器。 - 令牌是一次性的。 和 reCAPTCHA 一样,一个令牌只核验一次。不要缓存或重放它。
- 改你后端读取的字段名。 那个隐藏字段是
caputchin-token,不是g-recaptcha-response,一个常见的一行之失。
另见
- 添加组件:完整的客户端设置。
- 在你的后端核验一个令牌:那个权威的
siteverify参考。 - 后端示例:每种语言里的核验调用。
- 添加一个游戏:把验证变成一个游戏。