hCaptcha#
前情提要#
我們社團的短網址服務裡面常常出現一些奇怪的網址,我猜可能是有機器人在刷,所以我想加入 captcha 減少這類問題。我選擇的是 hCaptcha ↗ 這套,能不依賴 Google 就盡量不要。
安裝步驟#
申請帳號#
先到 hCaptcha ↗ 註冊、新增一個網站,複製 sitekey (Sites > site setting) 和 secret key (Settings),我們等等會用到
前端#
- 首先引入 script ,在
<head>加入
<script src="https://hcaptcha.com/1/api.js" async defer></script>- 接著在你的
<form>裡面加入,這邊的your_site_key就是剛剛複製的那個。記得<form>的 method 要設成post
<div class="h-captcha" data-sitekey="your_site_key"></div>後端(node express)#
-
SECRET
首先,你要把剛剛的SECRET給 server 知道,我用的是 dotenv,當然其他的套件也是可以。
簡而言之,剛剛複製下來的SECRET就是用在這裡。 -
驗證 後端我選用的套件是 express-hcaptcha ↗ ,它提供一個 middleware 驗證 hcaptcha 的 token。 按照 README.md 的說明,應該是像這樣就可以了,當驗證通過時就會執行第二個 middleware
const router = require('express').Router();
const captcha = require('express-hcaptcha');
const SECRET = process.env.HCAPTCHA_SECRET_KEY;
if (SECRET) {
// 這個 route 就是本來接收/處理 form 傳遞資料進來來的 route,只是加一個 captcha.middleware.validate(SECRET)
router.post('/', captcha.middleware.validate(SECRET), (req, res, next) => {
res.json({
message: 'verified!',
hcaptcha: req.hcaptcha,
});
});
}
module.exports = router;很不幸的,你會發現不管怎麼試,都驗證都不會通過,因為有一個 README.md 沒寫的 bug
- 解 bug
閱讀 express-hcaptcha ↗ 的 source code,你會在 這行 ↗ 發現它用的是
req.body.token,但是 hCaptcha 的回傳是在req.body.h-captcha-token裡面 …
有夠蠢的 bug
所以剛剛的程式碼就需要修改一下 在驗證之前先把req.body.h-captcha-token的內容塞進req.body.token裡面
const router = require('express').Router();
const captcha = require('express-hcaptcha');
const SECRET = process.env.HCAPTCHA_SECRET_KEY;
if (SECRET) {
router.post(
'/',
(req, res, next) => {
req.body.token = req.body['h-captcha-response'];
next();
},
captcha.middleware.validate(SECRET),
(req, res, next) => {
res.json({
message: 'verified!',
hcaptcha: req.hcaptcha,
});
}
);
}
module.exports = router;結論#
看原始碼很重要