Ejemplo de cómo agregar reCAPTCHA v3 de Google a un formulario PHP

Spanish (Español) translation by Ana Paulina Figueroa (you can also view the original English article)

En este artículo te mostraré cómo agregar reCAPTCHA v3 de Google a un formulario en tu sitio web PHP. El reCAPTCHA más reciente es diferente a las versiones anteriores — no requiere la interacción del usuario en absoluto. En esta publicación veremos cómo funciona y crearemos un ejemplo del mundo real para fines de demostración.

Como propietario de un sitio web, siempre estás en búsqueda de una solución anti-spam sólida que pueda evitar el spam en tu sitio web y que solo permita la entrada de contenido legítimo. Atrás han quedado los días en los que podías integrar una simple solución CAPTCHA basada en texto, y eso era suficiente para detener a los traviesos robots.

Comparando los 5 mejores generadores de formularios en PHP

¿Buscas un generador de formularios PHP para tu sitio web? hoy comparamos los cinco mejores generadores de formularios PHP disponibles en CodeCanyon. Esta publicación te ayudará a decidir...

Nona Blackman
10 Diciembre 2018

PHP
Las 12 mejores secuencias de comandos para formularios de contacto en PHP

Los formularios de contacto son imprescindibles para todo sitio web, y ya sea que necesites un formulario de contacto simple de tres líneas o uno más complejo que ofrezca cientos de...

Nona Blackman
16 Abril 2018

PHP
Crea un formulario de contacto en PHP

Este tutorial te enseñará cómo crear tu propio formulario de contacto básico en PHP. También aprenderás a validar y desinfectar la entrada del usuario para lograr que el formulario...

Monty Shokeen
28 Diciembre 2018

PHP
Los 20 mejores formularios de correo electrónico en PHP

Estos son algunos de los mejores formularios de correo electrónico en PHP que encontrarás en CodeCanyon y que harán que tu sitio web sea más impresionante.

Monty Shokeen
15 Febrero 2019

PHP

Por otro lado, si has utilizado soluciones anti-spam de terceros para tu sitio web, es probable que conozcas la solución reCAPTCHA proporcionada por Google. Con cada versión de reCAPTCHA, Google ha fortalecido sus capacidades para detectar y filtrar el spam. Específicamente, reCAPTCHA v2 es una de las mejores entre las diferentes soluciones anti-spam de terceros.

Puedes integrar reCAPTCHA v2 en tu sitio web de dos maneras diferentes. La primera es la famosa casilla de verificación "No soy un robot". Y la otra es el método invisible en el que la interacción del usuario se requiere solamente en casos sospechosos. En esta publicación discutiremos reCAPTCHA v3, que es invisible ¡y no requiere la interacción del usuario en absoluto!

En la siguiente sección explicaré cómo funciona reCAPTCHA v3, y más adelante crearemos un ejemplo del mundo real como demostración.

Cómo funciona reCAPTCHA v3 de Google

¡Se dice que una imagen vale más que mil palabras! así que echemos un vistazo a la siguiente captura de pantalla para comprender qué está sucediendo exactamente en el fondo cuando integras reCAPTCHA v3 en tu sitio web.

Tratemos de comprender el flujo general a detalle:

El usuario final solicita una página web.
La aplicación o el servidor web devuelven la página solicitada, que incluye código de reCAPTCHA v3.
A continuación, el usuario rellena el formulario y hace clic en el botón de enviar.
Antes de enviar los datos del formulario al servidor, el código de reCAPTCHA v3 en el cliente realiza una llamada AJAX al servidor Google y obtiene un token. Lo importante aquí es que tenemos que enviar el atributo action con un valor apropiado durante la llamada AJAX. Debes enviar el valor que identifica a tu formulario. Este es el valor que usarás para la verificación del lado del servidor, junto con otros parámetros.
El token obtenido en el paso anterior se envía junto con los otros datos del formulario. En la mayoría de los casos agregamos dos variables ocultas al formulario, token y action, antes de enviarlo.
Una vez que se envía el formulario, tenemos que realizar el paso de verificación para decidir si el formulario es enviado por un humano. Como primer paso, realizaremos una solicitud POST para verificar el token de respuesta. La solicitud POST envía el token junto con la clave secreta de Google al servidor Google.
La respuesta es un objeto JSON, y lo usaremos para decidir si el formulario ha sido enviado por un humano. El formato del objeto JSON se muestra en el siguiente fragmento de código.

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Hay tres comprobaciones que debemos hacer para asegurarnos de que sea seguro continuar con el procesamiento del formulario. La puntuación de la respuesta debe ser mayor que 0.5, y la propiedad success debe ser TRUE. Además de eso, debes comparar el valor respuesta de action con el valor de la variable oculta action que se envía con el formulario.

La API reCAPTCHA v3 devuelve una puntuación determinada para cada solicitud en la que no se haya tenido problemas con el usuario. La puntuación de respuesta que recibes se basa en las interacciones del usuario con tu sitio — sus pulsaciones de teclas y movimientos del ratón. El reCAPTCHA v3 aprende del tráfico verdadero de tu sitio web. Por lo tanto, puede ser que las puntuaciones sean diferentes en ambientes distintos. Como punto de partida, puedes usar un umbral de 0.5 y ajustarlo posteriormente de acuerdo a tus requisitos.

Esa es una visión general del proceso. En la siguiente sección veremos cómo registrar tu sitio con Google para obtener una clave de sitio y una clave secreta.

Registra la clave y clave secreta para reCAPTCHA v3

La biblioteca reCAPTCHA de Google requiere que registres claves para tu dominio antes de que puedas usarla. En esta sección veremos cómo puedes hacer su registro.

Primero, ve al panel administrativo de reCAPTCHA para crear un vínculo que te muestra un formulario pidiéndote algunos detalles, como se ve en la siguiente captura de pantalla.

reCAPTCHA admin panel register Your Website

En el campo reCAPTCHA Type (Tipo de reCAPTCHA) selecciona la opción reCAPTCHA v3. Completa la información de Domains (Dominios) y Owners (Propietarios) según sea necesario. A continuación lee y acepta los reCAPTCHA Terms of Service (Términos de servicio de reCAPTCHA). Finalmente haz clic en el botón Submit (Enviar) para guardar las configuraciones.

Al enviar el formulario, Google genera una clave de sitio y una clave secreta para tu dominio, como se muestra en la siguiente captura de pantalla.

Por favor cópialas y anótalas, ya que las necesitaremos más adelante cuando construyamos nuestro ejemplo del mundo real.

Construye un ejemplo del mundo real

En la sección anterior creamos las credenciales necesarias que podemos usar al configurar el reCAPTCHA v3. En esta sección crearemos un ejemplo para hacer una demostración de cómo integrarlo en tu página web PHP.

Crearemos dos archivos PHP: subscribe_newsletter_form.php y subscribe_newsletter_submit.php.

El archivo subscribe_newsletter_form.php se usa para mostrar el formulario de suscripción al boletín de noticias, que permite al usuario escribir la dirección de correo electrónico y suscribirse a los boletines de noticias.
El archivo subscribe_newsletter_submit.php gestiona el envío del formulario y realiza la validación necesaria.

Crea el formulario de suscripción al boletín de noticias

Continúa y crea el archivo subscribe_newsletter_form.php con el siguiente contenido.

<html>
  <head>
    <title>Subscribe to Newsletter</title>
    <script
      src="https://code.jquery.com/jquery-3.4.1.min.js"
      integrity="sha256-CSXorXvZcTkaix6Yvo6HppcZGetbYMGWSFlBw8HfCJo="
      crossorigin="anonymous"></script>

    <script src="https://www.google.com/recaptcha/api.js?render=6LdLk7EUAAAAAEWHuB2tabMmlxQ2-RRTLPHEGe9Y"></script>
  </head>
  <body>
    <div>
      <b>Subscribe Newsletter</b>
    </div>

    <form id="newsletterForm" action="subscribe_newsletter_submit.php" method="post">
      <div>
          <div>
              <input type="email" id="email" name="email">
          </div>
          <div>
              <input type="submit" value="submit">
          </div>
      </div>
    </form>

    <script>
    $('#newsletterForm').submit(function(event) {
        event.preventDefault();
        var email = $('#email').val();

        grecaptcha.ready(function() {
            grecaptcha.execute('6LdLk7EUAAAAAEWHuB2tabMmlxQ2-RRTLPHEGe9Y', {action: 'subscribe_newsletter'}).then(function(token) {
                $('#newsletterForm').prepend('<input type="hidden" name="token" value="' + token + '">');
                $('#newsletterForm').prepend('<input type="hidden" name="action" value="subscribe_newsletter">');
                $('#newsletterForm').unbind('submit').submit();
            });;
        });
  });
  </script>
  </body>
</html>

Revisemos los fragmentos de código importantes en este archivo.

Primero cargamos la biblioteca JavaScript de reCAPTCHA en la sección <head>. Es importante tener en cuenta que debes enviar tu site key como un parámetro de cadena de consulta render=YOUR_SITE_KEY. Además, hemos cargado la biblioteca jQuery también para poder usar métodos de utilidad relacionados con formularios. No es necesario usar jQuery — tú puedes usar cualquier otra biblioteca de tu elección, o incluso JavaScript estándar.

A continuación creamos un formulario básico que incluye el cuadro de texto para el correo electrónico y el botón de enviar — nada especial por aquí.

Por último, tenemos el fragmento de código en JavaScript al final del archivo, que es la parte clave para implementar reCAPTCHA. Hemos creado el controlador de envío con jQuery para el formulario, de manera que cuando el usuario envíe el formulario vamos a atrapar ese evento y haremos el procesamiento necesario antes del envío real del formulario. Usamos la función event.preventDefault() para detener el envío del formulario cuando normalmente se enviaría.

A continuación, el objeto grecaptcha llama al método execute, que obtiene el token del servidor de Google llevando a cabo una llamada AJAX. Es importante tomar en cuenta que tienes que enviar la clave de sitio y el action name al llamar al método execute. El action name te permite tener un desglose detallado de los datos en la consola de administración de Google. También se usa para verificar la respuesta del reCAPTCHA del lado del servidor, lo cuál veremos un poco más adelante.

Cuando el método execute recibe el token de respuesta, este envía el token a la función anónima proporcionada en el método then. A continuación agregamos dos nuevas variables ocultas al formulario, token y action, junto con sus valores. Finalmente, enviamos el formulario llamando al método submit de jQuery.

Gestiona el envío y la validación del formulario

Continúa y crea el archivo subscribe_newsletter_submit.php con el siguiente código para gestionar el envío del formulario.

<?php
define("RECAPTCHA_V3_SECRET_KEY", 'YOUR_SECRET_HERE');

if (isset($_POST['email']) && $_POST['email']) {
    $email = filter_var($_POST['email'], FILTER_SANITIZE_STRING);
} else {
    // set error message and redirect back to form...
    header('location: subscribe_newsletter_form.php');
    exit;
}

$token = $_POST['token'];
$action = $_POST['action'];

// call curl to POST request
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,"https://www.google.com/recaptcha/api/siteverify");
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query(array('secret' => RECAPTCHA_V3_SECRET_KEY, 'response' => $token)));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);
$arrResponse = json_decode($response, true);

// verify the response
if($arrResponse["success"] == '1' && $arrResponse["action"] == $action && $arrResponse["score"] >= 0.5) {
    // valid submission
    // go ahead and do necessary stuff
} else {
    // spam submission
    // show error message
}

La parte más importante después del envío del formulario es verificar el token que se envía junto con los otros valores del formulario. Para eso, necesitas hacer una solicitud POST al URL https://www.google.com/recaptcha/api/siteverify. Además, necesitas enviar la clave secreta y el token como datos a la solicitud POST. En el ejemplo anterior hemos usando las funciones de cURL de PHP para hacer la solicitud POST.

Como respuesta recibirás un objeto JSON que contiene la información necesaria que puedes usar para verificar. Como discutimos anteriormente, al menos debes verificar tres cosas para asegurarte de que el formulario haya sido enviado por un humano: la propiedad success, el valor respuesta de action y la puntuación.

De esta manera puedes usar reCAPTCHA v3 de Google en tus páginas web PHP para detectar y prevenir el spam.

Conclusión

Hoy discutimos cómo puedes usar una de las soluciones anti-spam más populares en la web: reCAPTCHA v3 de Google. Creamos un ejemplo del mundo real para demostrar cómo puedes integrarlo en un sitio web PHP.