表单中的reCAPTCHA怎么集成？如何验证用户是人类？

答案是集成reCAPTCHA需前后端协作，前端加载脚本并获取令牌，后端用私钥验证令牌有效性。具体流程为：在HTML中引入reCAPTCHA API脚本，配置sitekey渲染验证组件（V2为复选框或隐形模式，V3为后台行为分析），表单提交前通过grecaptcha.execute()获取令牌并注入隐藏字段，后端接收g-recaptcha-response，结合secret key向Google验证接口发起请求，解析返回的success与score判断合法性，确保防御不被绕过。常见问题包括密钥混淆、脚本未加载、令牌缺失、验证请求失败及V3评分阈值设置不当，须通过日志监控与合理配置应对。相较于传统验证码体验更优，V2需用户交互，V3无感验证但依赖行为数据，安全性高于蜜罐、时间戳等替代方案。

在表单中集成reCAPTCHA来验证用户是否是人类，核心做法是在前端引入Google的reCAPTCHA脚本并渲染验证组件，随后在用户提交表单时，获取reCAPTCHA生成的验证令牌（token），最后将这个令牌发送到你的服务器进行验证。服务器通过向Google的API发送请求，确认令牌的有效性，从而判断用户是否为真实人类。

解决方案

要将reCAPTCHA集成到你的表单，并有效验证用户，这通常涉及到前端和后端两个部分的协作。我个人觉得，理解它背后的数据流转，会比单纯复制代码要重要得多。

前端集成（HTML/JavaScript）

1. 引入reCAPTCHA脚本： 这是第一步，也是最容易被忽视细节的一步。你需要将reCAPTCHA的JavaScript库加载到你的页面中。通常我会把它放在

   <body>

   登录后复制
   标签的底部，在你的主要JavaScript文件之前，这样可以避免阻塞页面渲染。

   <script src="https://www.google.com/recaptcha/api.js" async defer></script>

   登录后复制

   • async

     登录后复制
     和

     defer

     登录后复制
     属性很重要，它们能让脚本异步加载，不影响页面解析。

2. 在表单中添加reCAPTCHA组件： 根据你选择的reCAPTCHA版本（V2 或 V3），集成方式略有不同。

   • reCAPTCHA V2 (Checkbox 或 Invisible)： 对于V2的“我不是机器人”复选框，你只需要在表单中放置一个

     div

     登录后复制
     元素，并设置

     data-sitekey

     登录后复制
     属性。这个

     sitekey

     登录后复制
     是你从Google reCAPTCHA管理后台获取的公钥。

     <form action="/submit-form" method="POST">
         <!-- 你的表单字段 -->
         <input type="text" name="name" placeholder="你的名字">
         <input type="email" name="email" placeholder="你的邮箱">
     
         <div class="g-recaptcha" data-sitekey="你的网站公钥（Site Key）"></div>
     
         <button type="submit">提交</button>
     </form>

     登录后复制

     如果你用的是V2的Invisible模式，你需要手动调用

     grecaptcha.execute()

     登录后复制
     。这通常会在表单提交前触发，或者在特定事件发生时。

     <form id="myForm" action="/submit-form" method="POST">
         <!-- 你的表单字段 -->
         <input type="text" name="name" placeholder="你的名字">
         <input type="email" name="email" placeholder="你的邮箱">
     
         <!-- Invisible reCAPTCHA 的 div，通常是隐藏的或不渲染 -->
         <div class="g-recaptcha" data-sitekey="你的网站公钥（Site Key）" data-size="invisible"></div>
     
         <button type="submit" onclick="onSubmitForm(event)">提交</button>
     </form>
     
     <script>
         function onSubmitForm(event) {
             event.preventDefault(); // 阻止表单默认提交
             grecaptcha.execute(); // 触发reCAPTCHA验证
         }
     
         // reCAPTCHA 验证成功后的回调函数，需要在全局作用域
         function recaptchaCallback(token) {
             // token 是 reCAPTCHA 返回的验证令牌
             // 将 token 添加到表单中，随表单一起提交
             const form = document.getElementById('myForm');
             const tokenInput = document.createElement('input');
             tokenInput.type = 'hidden';
             tokenInput.name = 'g-recaptcha-response';
             tokenInput.value = token;
             form.appendChild(tokenInput);
     
             form.submit(); // 提交表单
         }
     </script>

     登录后复制

   • reCAPTCHA V3： V3是完全隐形的，它通过分析用户行为来打分。你需要在页面加载时主动渲染它，或者在需要验证的动作发生时执行。

     <form id="myFormV3" action="/submit-form" method="POST">
         <!-- 你的表单字段 -->
         <input type="text" name="name" placeholder="你的名字">
         <input type="email" name="email" placeholder="你的邮箱">
     
         <button type="submit" onclick="onSubmitV3(event)">提交</button>
     </form>
     
     <script>
         // 在页面加载时，或者在你需要的地方，调用 grecaptcha.ready
         grecaptcha.ready(function() {
             // 确保你的 sitekey 是 V3 的
             const sitekey = '你的网站公钥（V3 Site Key）';
     
             function onSubmitV3(event) {
                 event.preventDefault(); // 阻止表单默认提交
     
                 grecaptcha.execute(sitekey, { action: 'submit_form' }).then(function(token) {
                     // token 是 reCAPTCHA V3 返回的验证令牌
                     const form = document.getElementById('myFormV3');
                     const tokenInput = document.createElement('input');
                     tokenInput.type = 'hidden';
                     tokenInput.name = 'g-recaptcha-response';
                     tokenInput.value = token;
                     form.appendChild(tokenInput);
     
                     form.submit(); // 提交表单
                 });
             }
             // 将 onSubmitV3 绑定到按钮的点击事件
             document.getElementById('myFormV3').querySelector('button').onclick = onSubmitV3;
         });
     </script>

     登录后复制

   无论哪种方式，最终目的都是在表单提交时，将一个名为

   g-recaptcha-response

   登录后复制
   的隐藏字段，其中包含reCAPTCHA生成的令牌，一起发送到你的服务器。

后端验证（Node.js 示例）

后端验证是整个流程中至关重要的一环，因为前端的任何验证都可能被绕过。

1. 接收令牌： 当用户提交表单时，你的服务器会收到一个POST请求，其中包含表单数据以及

   g-recaptcha-response

   登录后复制
   令牌。

2. 向Google API发送验证请求： 你需要使用你的私钥（Secret Key）和接收到的令牌，向Google的reCAPTCHA验证API发送一个POST请求。

   // 假设你使用 Node.js 和 express
   const express = require('express');
   const axios = require('axios'); // 或者其他HTTP客户端，如 node-fetch
   const app = express();
   app.use(express.urlencoded({ extended: true })); // 解析表单数据
   
   const RECAPTCHA_SECRET_KEY = '你的网站私钥（Secret Key）'; // 从Google后台获取
   
   app.post('/submit-form', async (req, res) => {
       const recaptchaToken = req.body['g-recaptcha-response'];
       const userName = req.body.name;
       const userEmail = req.body.email;
   
       if (!recaptchaToken) {
           return res.status(400).send('reCAPTCHA 令牌缺失，请重试。');
       }
   
       try {
           const verificationUrl = `https://www.google.com/recaptcha/api/siteverify?secret=${RECAPTCHA_SECRET_KEY}&response=${recaptchaToken}`;
           const response = await axios.post(verificationUrl);
           const data = response.data;
   
           if (data.success) {
               // reCAPTCHA 验证成功
               if (data.score && data.score < 0.5) { // 针对V3，可以设置一个分数阈值
                   console.warn(`reCAPTCHA V3 验证成功但分数较低: ${data.score}`);
                   // 你可以选择在这里拒绝请求，或者进行额外的验证
                   return res.status(403).send('验证分数过低，可能为机器人。');
               }
   
               // 在这里处理表单数据，例如保存到数据库
               console.log('表单提交成功！');
               console.log(`用户: ${userName}, 邮箱: ${userEmail}`);
               res.send('表单提交成功，谢谢！');
   
           } else {
               // reCAPTCHA 验证失败
               console.error('reCAPTCHA 验证失败:', data['error-codes']);
               res.status(403).send('reCAPTCHA 验证失败，请确认您不是机器人。');
           }
       } catch (error) {
           console.error('reCAPTCHA 验证请求出错:', error.message);
           res.status(500).send('服务器内部错误，请稍后再试。');
       }
   });
   
   app.listen(3000, () => console.log('服务器运行在 http://localhost:3000'));

   登录后复制

   • secret

     登录后复制
     : 你的私钥，绝不能暴露在前端。

   • response

     登录后复制
     : 前端传过来的

     g-recaptcha-response

     登录后复制
     令牌。

   • remoteip

     登录后复制
     (可选): 用户的IP地址，可以提供给Google做更精确的判断。

3. 处理验证结果： Google API会返回一个JSON响应，其中包含

   success

   登录后复制
   字段（布尔值）和可能的

   error-codes

   登录后复制
   。对于V3，还会有一个

   score

   登录后复制
   字段。

   • success: true

     登录后复制
     ：表示验证通过。

   • success: false

     登录后复制
     ：表示验证失败，你需要查看

     error-codes

     登录后复制
     来了解具体原因。

   • score

     登录后复制
     (V3 only)：一个0到1之间的浮点数，1表示高度可能是人类，0表示高度可能是机器人。你可以根据自己的需求设置一个阈值（比如0.5或0.7），低于这个分数就认为可能是机器人。

为什么传统的验证码不够用了？reCAPTCHA V2 和 V3 有何区别？

说实话，每次看到那些扭曲得像麻花一样的传统验证码，我都会在心里默默吐槽一句：这到底是在防机器人，还是在防人类？传统的图片验证码，比如那些让你辨认模糊数字或字母的，它们最大的问题在于，既没能完全防住日益进化的机器人（现在很多OCR技术已经很厉害了，甚至还有人工打码平台），又极大地伤害了用户的体验。想想看，一个用户兴冲冲地要注册或留言，结果被一个又一个难以辨认的验证码拦住，那体验真的会大打折扣，甚至直接放弃。在我看来，这种“敌我不分”的防御方式，早就该被淘汰了。

reCAPTCHA之所以能脱颖而出，正是因为它在用户体验和安全性之间找到了一个更好的平衡点。而V2和V3，则是Google在这个平衡点上的两次重要迭代，各自有其侧重点。

reCAPTCHA V2

• “我不是机器人”复选框： 这是V2最经典的形态。用户只需勾选一个复选框，reCAPTCHA会在后台分析用户的行为（比如鼠标轨迹、点击模式等）。如果判断没问题，直接通过；如果可疑，才会弹出图片挑战，比如让你找出所有包含公交车的图片。
• 用户交互： V2需要用户进行主动操作（勾选或图片挑战）。
• 优点： 对于大多数普通用户来说，勾选一下“我不是机器人”比输入扭曲字符要方便多了。对于那些明确的机器人，图片挑战也能有效阻止。
• 缺点： 即使是复选框，也增加了一步操作。如果频繁弹出图片挑战，用户体验依然会受影响。有时候，我真的会因为图片挑战太难而放弃。

reCAPTCHA V3

• 隐形验证，无用户交互： 这是V3最显著的特点。它完全在后台运行，无需用户进行任何点击或输入。它会持续监控用户在网站上的行为（鼠标移动、滚动、点击频率、页面停留时间等），然后给出一个0到1之间的分数。
• 分数机制： 1.0表示用户行为非常像人类，0.0表示非常像机器人。你可以根据这个分数设置自己的阈值，比如低于0.5分就认为可能是机器人，然后采取相应的措施（比如增加二次验证，或者直接阻止）。
• 优点： 极致的用户体验，对用户来说几乎是无感的。它能提供更精细的控制，你可以根据分数决定是完全阻止，还是只是加一个提示。
• 缺点： 由于没有明确的“通过/不通过”界面，如果分数设置不当，可能会误判正常用户。另外，V3的评分是基于用户在整个网站上的行为，所以它需要被部署在网站的多个页面上，才能收集到足够的数据来做出准确判断。仅仅在一个表单页面使用，效果可能会打折扣。

总的来说，如果你希望有一个明确的“人机验证”步骤，并且用户可以接受简单的交互，V2是个不错的选择。而如果你追求极致的用户体验，希望验证过程对用户完全透明，并且有能力根据分数进行后续处理，那么V3无疑更先进。我个人在很多新项目中更倾向于V3，因为它确实能让用户体验更流畅。

表单大师AI

一款基于自然语言处理技术的智能在线表单创建工具，可以帮助用户快速、高效地生成各类专业表单。

74

查看详情

reCAPTCHA 集成过程中常见的坑与应对策略是什么？

在实际集成reCAPTCHA的过程中，我遇到过不少让人挠头的问题。有些是配置上的小失误，有些则是对reCAPTCHA工作原理理解不够深入导致的。

1. Site Key 和 Secret Key 混淆或用错版本：

• 坑： 最常见的就是把

  site key

  登录后复制
  （公钥，用于前端）和

  secret key

  登录后复制
  （私钥，用于后端）搞混。或者，你为reCAPTCHA V2申请了密钥，却用在了V3的集成上，反之亦然。不同版本的reCAPTCHA密钥是不通用的。
• 应对策略： 在Google reCAPTCHA管理后台，仔细核对每个项目的密钥类型（V2或V3），并确保将

  site key

  登录后复制
  放在前端HTML中，

  secret key

  登录后复制
  放在后端代码中，并且是严格保密的。一个好的习惯是，给你的密钥变量名加上版本标识，比如

  RECAPTCHA_V3_SECRET_KEY

  登录后复制
  。

2. 前端未正确加载或执行reCAPTCHA脚本：

• 坑：

  api.js

  登录后复制
  脚本没有加载成功（比如网络问题，或者URL写错），或者

  grecaptcha.ready()

  登录后复制
  没有被调用，导致

  grecaptcha

  登录后复制
  对象未定义。对于Invisible V2或V3，忘记在表单提交前调用

  grecaptcha.execute()

  登录后复制
  。
• 应对策略：
  • 检查浏览器开发者工具的网络（Network）面板，确认

    api.js

    登录后复制
    是否成功加载。
  • 在JavaScript代码中，先判断

    typeof grecaptcha !== 'undefined'

    登录后复制
    再进行操作。
  • 确保你的表单提交事件被正确拦截，并且在拦截后调用了

    grecaptcha.execute()

    登录后复制
    ，并且在回调函数中才真正提交表单。对于V3，确保

    grecaptcha.ready()

    登录后复制
    包裹了你的执行逻辑。

3. 后端未接收到

g-recaptcha-response

• 坑： 前端表单没有正确将

  g-recaptcha-response

  登录后复制
  这个隐藏字段包含进去，或者用户在提交前没有完成reCAPTCHA验证（V2勾选，V3执行）。
• 应对策略：
  • 前端：检查表单

    name

    登录后复制
    属性是否正确设置为

    g-recaptcha-response

    登录后复制
    。对于V2 Invisible和V3，确保

    grecaptcha.execute()

    登录后复制
    成功执行后，令牌被动态添加到表单中。
  • 后端：在处理请求的开始，就检查

    req.body['g-recaptcha-response']

    登录后复制
    是否存在且不为空。如果为空，直接返回错误提示用户重新验证。

4. 后端验证请求失败或Google API返回错误：

• 坑： 你的服务器无法连接到Google的reCAPTCHA验证API（

  www.google.com/recaptcha/api/siteverify

  登录后复制
  ），可能是网络防火墙、DNS问题，或者是API请求参数错误（比如

  secret

  登录后复制
  或

  response

  登录后复制
  参数缺失）。
• 应对策略：
  • 确保你的服务器可以访问外部网络，特别是Google的API地址。
  • 仔细检查发送给Google API的POST请求参数，确保

    secret

    登录后复制
    和

    response

    登录后复制
    都正确无误。
  • 添加

    try-catch

    登录后复制
    块来捕获网络请求的异常，并记录详细的错误信息，这对于排查问题至关重要。Google API返回的

    error-codes

    登录后复制
    也很有用，比如

    invalid-input-secret

    登录后复制
    （私钥不对）或

    timeout-or-duplicate

    登录后复制
    （令牌已过期或重复使用）。

5. reCAPTCHA V3 分数阈值设置不当：

• 坑： 对于V3，如果你的分数阈值设置过高（比如0.9），可能会误伤很多正常用户，因为他们可能只是打开页面后没有太多交互。如果设置过低（比如0.1），又可能放过一些简单的机器人。
• 应对策略：
  • 这是一个需要持续优化的过程。一开始可以设置一个中等偏宽松的阈值（比如0.5或0.6），然后通过日志监控

    score

    登录后复制
    分布。
  • 对于分数较低但又不是极端低的请求，可以考虑增加二次验证（比如短信验证码、邮箱验证链接），而不是直接拒绝。这能提升用户体验。
  • 部署V3时，尽量在你的网站的多个页面上都加载它，让Google有更多的数据来评估用户行为，从而给出更准确的分数。

6. 安全性考虑：只在前端验证reCAPTCHA：

• 坑： 有些新手可能会认为，只要前端reCAPTCHA组件显示出来了，就代表验证成功了，从而省略了后端验证步骤。这是个巨大的安全漏洞，因为前端的任何逻辑都可以被绕过。
• 应对策略： 永远记住，reCAPTCHA的验证核心在后端。前端只是一个收集令牌的工具，真正的判断必须在你的服务器上完成。没有服务器端的验证，reCAPTCHA形同虚设。

处理这些问题时，耐心和细致的日志记录是关键。很多时候，一个看似复杂的问题，最终可能只是一个拼写错误或者配置项的小疏漏。

除了 reCAPTCHA，还有哪些验证用户是人类的方法？它们各有什么优劣？

除了reCAPTCHA，市面上确实还有不少验证用户是人类的方法。它们各有各的哲学和适用场景，我个人觉得，没有哪一种是完美无缺的“银弹”，关键在于你的业务场景对安全性、用户体验和开发成本的权衡。

1. 蜜罐（Honeypot）字段：

• 原理： 在表单中添加一个对普通用户不可见（通过CSS隐藏）的字段。由于机器人通常会尝试填充表单中的所有字段，它们会“傻傻地”填入这个隐藏字段。如果这个字段被填写了，那么提交者很可能就是机器人。
• 优点：
  • 用户无感： 对真实用户来说，完全没有额外的操作，体验极佳。
  • 实现简单： 只需要在HTML和后端做一点点改动。
  • 零成本： 不需要依赖第三方服务。
• 缺点：
  • 容易被绕过： 智能的机器人可能会解析CSS或JS，识别出隐藏字段并忽略它。
  • 不适用于所有机器人： 专门针对蜜罐字段的机器人可以轻易绕过。
• 适用场景： 对安全性要求不是特别高，或作为第一层轻量级防御。

**2. 时间戳验证（Time-based Validation）：

以上就是表单中的reCAPTCHA怎么集成？如何验证用户是人类？的详细内容，更多请关注php中文网其它相关文章！