Se usó la API de Cloud Translation para traducir esta página.

Cómo verificar la respuesta del usuario

En esta página, se explica cómo verificar la respuesta de un usuario a un desafío de reCAPTCHA desde el backend de la aplicación.

En el caso de los usuarios web, puedes obtener el token de respuesta del usuario de una de estas tres maneras:

Parámetro POST de g-recaptcha-response cuando el usuario envía el formulario en tu sitio
grecaptcha.getResponse(opt_widget_id) después de que el usuario complete el desafío de reCAPTCHA
Como un argumento de cadena para tu función de devolución de llamada si se especifica data-callback en el atributo de etiqueta g-recaptcha o en el parámetro de devolución de llamada en el método grecaptcha.render.

Si eres usuario de la biblioteca de Android, puedes llamar al método SafetyNetApi.RecaptchaTokenResult.getTokenResult() para obtener un token de respuesta si el estado es exitoso.

Restricciones de tokens

Cada token de respuesta del usuario de reCAPTCHA es válido por dos minutos y solo se puede verificar una vez para evitar ataques de repetición. Si necesitas un token nuevo, puedes volver a ejecutar la verificación de reCAPTCHA.

Después de obtener el token de respuesta, debes verificarlo en un plazo de dos minutos con reCAPTCHA mediante la siguiente API para asegurarte de que el token sea válido.

Solicitud a la API

URL: https://www.google.com/recaptcha/api/siteverify MÉTODO: POST

Parámetro POST	Descripción
`secret`	Obligatorio. La clave compartida entre tu sitio y reCAPTCHA.
`response`	Obligatorio. El token de respuesta del usuario que proporciona la integración del cliente de reCAPTCHA en tu sitio.
`remoteip`	Opcional. Es la dirección IP del usuario.

Respuesta de la API

La respuesta es un objeto JSON:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Para reCAPTCHA en Android:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "apk_package_name": string, // the package name of the app where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Referencia de código de error

Código de error	Descripción
missing-input-secret	Falta el parámetro secreto.
invalid-input-secret	El parámetro secreto no es válido o presenta errores de formato.
missing-input-response	Falta el parámetro de respuesta.
invalid-input-response	El parámetro de respuesta no es válido o tiene errores de formato.
bad-request	La solicitud no es válida o no tiene el formato correcto.
timeout-or-duplicate	La respuesta ya no es válida: es demasiado antigua o se usó anteriormente.