Laravel 中集成极验 Geetest v4 需手动引入 CDN 的 gt.js 并用 initGeetest 初始化,后端用 Guzzle 调用 validate 接口校验四字段(captcha_id、challenge、validate、seccode),缺一或错配均导致静默失败。
极验(Geetest)在 Laravel 中无法直接通过 Composer 官方包开箱即用,必须手动集成其 Web SDK + 后端校验逻辑,否则会返回 illegal return 或 not found geetest lib 错误。
如何在 Laravel 视图中正确加载 Geetest 前端 JS
Geetest v4(当前主流版本)要求前端使用其 CDN 加载 gt.js,且必须配合 initGeetest 初始化,不能简单 引入后直接调用。
- 务必在页面底部或 DOM 加载完成后执行初始化,避免
document.getElementById找不到容器 - 初始化参数中的
captchaId必须与后端获取的captcha_id严格一致(注意不是字符串拼接,是原样透传) - 不要在 Blade 模板里写内联
onSuccess回调函数体,应抽离为命名函数,否则 HTML 转义易出错
如何用 Guzzle 发起 Geetest 后端校验请求
Laravel 默认不带 Geetest 官方 PHP SDK,也不推荐用已停止维护的 overtrue/laravel-geetest(兼容性差、v4 不支持)。应直接用 GuzzleHttp\Client 调用 Geetest REST API。
- 校验接口地址为
https://gcaptcha4.geetest.com/validate,不是旧版的/ajax.php - POST 参数必须包含
captcha_id、challenge、validate、seccode四个字段,缺一不可 - 需设置
headers['Content-Type'] = 'application/x-www-form-urlencoded',否则返回 400 - 响应是 JSON 字符串,需用
json_decode($response->getBody(), true)解析,检查result === 'success'
$client = new \GuzzleHttp\Client();
$response = $client->post('https://gcaptcha4.geetest.com/validate', [
'form_params' => [
'captcha_id' => $request->input('geetest_captcha_id'),
'challenge' => $request->input('geetest_challenge'),
'validate' => $request->input('geetest_validate'),
'seccode' => $request->input('geetest_seccode'),
],
'headers' => ['Content-Type' => 'application/x-www-form-urlencoded'],
]);
$result = json_decode($response->getBody(), true);
if (!isset($result['result']) || $result['result'] !== 'success') {
return back()->withErrors(['captcha' => '验证码校验失败']);
}
为什么 Laravel 表单提交后总提示“验证失败”
绝大多数情况不是前端没传值,而是后端没正确提取或透传关键字段,尤其是 captcha_id 和 challenge 的生命周期管理被忽略。
-
captcha_id是一次性 token,必须在表单渲染前从 Geetest 获取,并随表单一起输出为隐藏字段(如) - 前端
onSuccess回调中必须把res.geetest_challenge写入同名 hidden input,否则后端收不到该值 - Laravel 的 CSRF Token 与 Geetest 无关,但若用了
@csrf,确保它和 Geetest 字段在同一内,且未被 JS 提交逻辑绕过 - 调试时可用
dd($request->all())确认是否收到全部四个字段:geetest_captcha_id、geetest_challenge、geetest_validate、geetest_seccode
Geetest v4 的核心难点不在代码量,而在于四个字段的生成、透传、校验三阶段必须严格对应;漏掉任意一个字段或错配 captcha_id,都会导致静默失败——它不会报错,只会返回 {"result":"fail"}。
