Como verificar a resposta do usuário

Esta página explica como verificar a resposta de um usuário a um desafio reCAPTCHA do back-end do aplicativo.

Para usuários da Web, é possível conseguir o token de resposta do usuário de uma destas três maneiras:

  • o parâmetro POST g-recaptcha-response quando o usuário envia o formulário no site;
  • grecaptcha.getResponse(opt_widget_id) após o usuário concluir o desafio reCAPTCHA.
  • Como um argumento de string para sua função de callback, se data-callback for especificado no atributo de tag g-recaptcha ou no parâmetro de callback no método grecaptcha.render

Para usuários da biblioteca Android, chame o método SafetyNetApi.RecaptchaTokenResult.getTokenResult() para receber o token de resposta se o status retornar "bem-sucedido".

Restrições de token

Cada token de resposta do usuário reCAPTCHA é válido por dois minutos e só pode ser verificado uma vez para evitar ataques de repetição. Se você precisar de um novo token, execute novamente a verificação reCAPTCHA.

Depois de receber o token de resposta, você precisa verificá-lo em dois minutos com o reCAPTCHA usando a API a seguir para garantir que o token é válido.

Solicitação de API

URL: https://www.google.com/recaptcha/api/siteverify MÉTODO: POSTAR

Parâmetro POST Descrição
secret Obrigatório. A chave compartilhada entre seu site e o reCAPTCHA.
response Obrigatório. O token de resposta do usuário fornecido pela integração reCAPTCHA do lado do cliente no seu site.
remoteip Opcional. O endereço IP do usuário.

Resposta da API

A resposta é um objeto JSON:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Para o reCAPTCHA para Android:

{
  "success": true|false,
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "apk_package_name": string, // the package name of the app where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Referência do código de erro

Código do erro Descrição
missing-input-secret O parâmetro secreto está ausente.
invalid-input-secret O parâmetro secreto é inválido ou está incorreto.
missing-input-response O parâmetro de resposta está ausente.
invalid-input-response O parâmetro de resposta é inválido ou está incorreto.
bad-request A solicitação é inválida ou está incorreta.
timeout-or-duplicate A resposta não é mais válida: ou é muito antiga ou já foi usada.