ReCaptcha V3 -如果验证失败怎么办？

Question

我增加了隐形reCaptcha V3到asp.net核心6.0角SPA。

1. 注册MVC页面HTML:

  . . .
  <input type="hidden" name="captcha" id="captchaInput" value="" />
</form>

. . .

@section Scripts {
    <script src="https://www.google.com/recaptcha/api.js?render=@Configuration["Recaptcha:siteKey"]"></script>
    <script>
        grecaptcha.ready(function() {
            grecaptcha.execute('@Configuration["Recaptcha:siteKey"]', { action: 'contact' }).then(function (token) {
                $("#captchaInput").val(token);
            });
        });
    </script>

    <partial name="_ValidationScriptsPartial" />
}

政务司司长

if (ModelState.IsValid)
{
  if (!await _captchaValidator.IsCaptchaPassedAsync(captcha))
    ModelState.AddModelError("captcha", "Captcha validation failed");

有reCaptcha验证器注入的OIDC控制器。

一切都正常。直到验证失败(例如，低分数)。

用户不能从这一点出发.

我希望captcha成为常规可见的挑战.

--我需要一个可行的解决方案--如何给用户第二次机会来证明他们不是机器人，以防reCaptcha v3验证失败(不管是什么原因)。

贷记：

Answer 1

想想看，这里有一些问题。

我应该使用什么reCaptcha?

• What

1. (V2，V3)版本？
2. 如何设置reCaptcha失败的后端返回？

那么，..。

1. 为您自己和您的项目选择。are

• for V2:只有人类允许(非编程点击才有效)，检查是不可避免的，有时也很困难；

。

• for V3:不仅人类可以通过它，而且它也不烦人。这两种选择都是可行的。为你的项目挑一个最好的吧。如果选择V3，则配置它。

1. 设置。V2没有设置，因为由于其性质，只有humans.V3对每个评估用户操作的请求都有一个score。一个太低的分数使false在success。true或false的限值应设置为https://g.co/recaptcha/admin/。这不需要代码/配置更新。否则，您可以通过Task<JObject> GetCaptchaResultDataAsync(string token)获得整个响应对象，并自己处理对象的score值。在这种情况下，应手动更改限值(代码或配置).

NB！在您的网站工作，价值可能会改变！这取决于用户的行为，他们的网络速度，软件，.

NB！初始的gReCaptcha V3分数值是0.5__。你可以在控制台上玩。

如果

1. 的reCaptcha失败了，那么它主要是一个机器人。因此，不需要采取实际行动。因此，这可能是一个忽略的行动-根本没有反应行动。让机器人没完没了地撞墙。尤其是在V2。如果V3正在使用，那么您可以假设它可能是一个用户。您可以从后端返回错误消息或4XX代码。在前端，可能有响应处理会触发用户通知--一个关于可疑行为的错误文本.

对于QA来说，实现passway以避免reCaptcha检查是有意义的。不同的构建/信任(QA手册)或端点/附加密码(QA自动)覆盖或跳过await _captchaValidator.IsCaptchaPassedAsync(captcha)结果。