来自 recaptcha v2 背景和我自己的机器人检测逻辑。我想试用 v3 的新 bot 检测分数功能。
我想保护我的搜索页面不被试图每 0.5 秒查询一次数据库的机器人滥用。
搜索结果页面接受 url 查询参数以允许用户为页面添加书签。例如mydomain.com/findallcities?country=xxx&province=yyy&populationmin=5000
根据我的理解,v3 流程是这样工作的
- 客户端调用 recaptcha JS 函数并获取令牌
- 客户端将令牌附加到表单中的某个位置,以便服务器稍后可以验证令牌
- 表单提交和服务器接收令牌
- 如果服务器没有获得令牌,则拒绝。否则验证令牌以获得用户分数并采取相应行动
所以问题来了。我如何判断它是一个正在mydomain.com/findallcities?country=xxx&province=yyy&populationmin=5000发送 Get 请求的机器人,还是它是一个合法用户点击书签?没有要验证的令牌,即使它可能是以前过期(已使用)的令牌。