Sol·licitud de reCAPTCHA Corporatiu
Què és i per a què serveix
El reCAPTCHA corporatiu és un servei de Google que permet protegir formularis i accions d’aplicacions web verificant que qui interactua és una persona real i no un bot automàtic.
Permet activar la modalitat v2 “I’m not a robot” Checkbox, que mostra la casella de verificació a l’usuari final.
Pas 1 — Obrir tiquet a Suport Cloud
Cal crear un tiquet al sistema JIRA ACOCLDSIC del tipus “Suport Especialitzat Cloud”, component “ReCaptcha”. La sol·licitud ha d’incloure la informació següent:
- Nom de l’aplicació que necessita el reCAPTCHA
- URL o URLs on s’ha d’activar (producció i/o preproducció)
- Modalitat sol·licitada: v2 “I’m not a robot” Checkbox
- Justificació de la necessitat
Pas 2 — Proporcionar les dades necessàries
Un cop obert el tiquet, cal facilitar tres codis obligatoris:
| Camp | Descripció |
|---|---|
| CodiAplicacio | Identificador intern de l’aplicació al catàleg corporatiu |
| CodiServei | Nou codi amb format: 7_xxxx – GCP – Recaptcha “Entitat” |
| CodiJira | A la sol·licitud del codi s’ha d’indicar que no hi ha oferta i que els costos es repercutiran al codi de servei |
⚠️ A la creació del codi de servei cal indicar explícitament que no hi ha oferta associada i que es necessita per repercutir els costos del reCAPTCHA corporatiu.
Pas 3 — Creació del projecte reCAPTCHA per l’equip GCP
Un cop validada la informació, Suport Cloud obrirà la sol·licitud al CPD corresponent de GCP.
L’equip GCP enviarà per correu electrònic al contacte de l’ACOCLDSIC:
- El Site Key (ID) del reCAPTCHA
- El Secret Key generat
- L’API Key necessària per a la verificació al backend
Pas 4 — Integrar el widget al frontal web
Amb el Site Key rebut, cal afegir el widget de reCAPTCHA a les pàgines que es vulguin protegir:
- Carregar el JavaScript de l’API de reCAPTCHA a la capçalera de la pàgina.
- A l’element on ha de renderitzar el widget, afegir la classe
g-recaptcha, l’atributdata-sitekeyamb el valor rebut idata-actionamb el nom de l’acció. - Enviar el token de resposta al backend de l’aplicació. El token caduca als dos minuts.
Exemple de codi:
<html>
<head>
<script src="https://www.google.com/recaptcha/enterprise.js"
async defer></script>
</head>
<body>
<form action="" method="POST">
<div class="g-recaptcha"
data-sitekey="EL_TEU_SITE_KEY"
data-action="LOGIN">
</div>
<input type="submit" value="Enviar">
</form>
</body>
</html>
Cal substituir EL_TEU_SITE_KEY pel valor rebut per correu. El camp data-action pot adaptar-se a l’acció corresponent (LOGIN, REGISTRE, etc.).
Pas 5 — Verificar el token al backend
Quan l’usuari completa el reCAPTCHA, el frontend genera un token que cal verificar des del servidor. Cal seguir dos sub-passos:
5.1 — Crear el fitxer request.json
{
"event": {
"token": "TOKEN_REBUT_DEL_FRONTEND",
"expectedAction": "LOGIN",
"siteKey": "EL_TEU_SITE_KEY"
}
}
5.2 — Fer la crida HTTP POST
Enviar una petició POST a la URL següent, substituint API_KEY pel valor rebut per correu:
https://recaptchaenterprise.googleapis.com/v1/projects/NOM_DEL_PROJECTE/assessments?key=API_KEY
⚠️ Abans de fer les crides a l’API cal completar l’autenticació amb reCAPTCHA, altrament les peticions fallaran.
El servei retorna una puntuació de risc que indica si la interacció és legítima o sospitosa. L’aplicació ha de decidir com actuar en funció d’aquesta puntuació.
Pas 6 — Validar el funcionament
Un cop integrat, cal verificar que:
- El widget es mostra correctament a les pàgines protegides.
- La verificació del token al backend funciona sense errors.
- La puntuació de risc retornada per Google és correcta.
Si hi ha qualsevol incidència, cal comunicar-ho a través de l’ACOCLDSIC obert.