Rozszerzenie do przeglądarek

Dla firm

Ceny

Blogu

Dokumentacja

Polski

reCAPTCHA v2 Enterprise
i CapMonster Cloud

Rozwiązywanie captcha, integracja na stronie i testy end-to-end.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest reCAPTCHA v2 Enterprise, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu reCAPTCHA v2 Enterprise, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise to korporacyjna odsłona standardowej ochrony Google przed spamem i atakami automatycznymi. Dokładniej rozpoznaje, czy na stronie działa człowiek czy bot, i wykorzystuje API Google Cloud do weryfikacji tokenów. Wizualnie niemal nie różni się od klasycznej v2 (checkbox, zadania obrazkowe), lecz ładuje skrypt https://www.google.com/recaptcha/enterprise.js dla wyższego poziomu bezpieczeństwa.

Jak rozwiązać reCAPTCHA v2 Enterprise za pomocą CapMonster Cloud

Podczas testowania formularzy z reCAPTCHA v2 Enterprise często trzeba zweryfikować, czy captcha jest poprawnie zintegrowana i działa.

Możesz ręcznie sprawdzić captchę na swojej stronie.

Otwórz stronę formularza i upewnij się, że captcha się wyświetla.
Spróbuj wysłać formularz bez rozwiązania — serwer powinien zwrócić błąd.
Po poprawnym rozwiązaniu formularz musi wysłać się bez problemów.

Do automatycznego rozwiązywania wykorzystaj narzędzia takie jak CapMonster Cloud, które przyjmują parametry captcha, przetwarzają je na serwerach i zwracają gotowy token. Wstaw go do formularza, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie wysyłasz klucz API, typ captchy i parametry. Usługa zwraca unikalny taskId, z którego później pobierzesz wynik.

Wysyłanie żądania API

W żądaniu podaj:

type - RecaptchaV2EnterpriseTask;

websiteURL - adres strony z captchą;

websiteKey - sitekey widoczny na stronie;

enterprisePayload - przekaż go, jeśli widget reCAPTCHA Enterprise wysyła dodatkowe pole s w strukturze przekazywanej do grecaptcha.enterprise.render wraz z sitekey;

pageAction - wartość action wysyłana do Google (domyślnie verify).

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Umieszczenie tokenu na stronie

Umieść otrzymany token ("gRecaptchaResponse") w ukrytym polu formularza lub przekaż go funkcji JS, aby potwierdzić rozwiązanie. Serwer zaakceptuje formularz. Do automatyzacji użyj Puppeteer, Selenium albo Playwright, by emulować działania użytkownika, wstrzyknąć token i wysłać formularz.

Zamiast tokenu możesz skorzystać z rozwiązania klikowego. Szczegóły w dokumentacji CapMonster Cloud.

Rozwiązywanie reCAPTCHA v2 Enterprise gotowymi bibliotekami

CapMonster Cloud udostępnia SDK dla Pythona, JavaScriptu (Node.js) i C#.

Python

JavaScript

Rozwiązanie, wstawienie tokenu i wysłanie formularza

Przykład w Node.js obejmujący pełen cykl: pobranie HTML i parametrów przez HTTP, wysłanie odpowiedzi, obsługa wyniku, albo użycie Playwright do otwarcia strony, odczekania na captchę, wysłania parametrów (także testowych), odebrania wyniku z klienta CapMonster Cloud, wstawienia tokenu do formularza i obserwacji rezultatu.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Otwórz stronę z captchą
  await page.goto('https://example.com');

  // 3. Utwórz klienta CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Skonfiguruj zapytanie rozwiązujące
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Opcjonalny parametr enterprise
  });

  // 5. Rozwiąż captchę przez CapMonster
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Token captchy:', token);

  // 6. Wstaw token do ukrytego pola
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Opcjonalnie) wyślij formularz — dopasuj selektor
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Możesz też testować captchę z rozszerzeniem przeglądarkowym CapMonster Cloud, które pokazuje proces rozwiązania w czasie rzeczywistym bez pisania kodu. Dostępne dla Chrome i Firefox.

Jak podłączyć reCAPTCHA v2 Enterprise do swojej witryny

Aby zrozumieć, jak captcha działa w Twojej witrynie, jak zachowuje się walidacja oraz jak ponownie ją podłączyć lub skonfigurować, przejrzyj tę sekcję. Przeprowadzi Cię ona przez cały proces konfiguracji zabezpieczeń, dzięki czemu szybko ogarniesz wszystkie szczegóły.

Ponieważ reCAPTCHA Enterprise działa w Google Cloud, najpierw musisz utworzyć projekt w konsoli:

1. Przejdź do Google Cloud Console.

2. W górnym menu wybierz istniejący projekt lub kliknij Nowy projekt.

3. Wprowadź nazwę projektu, określ swoją organizację i potwierdź utworzenie.

HowTo Connect image 1

4. Otwórz stronę API: reCAPTCHA Enterprise API i kliknij Włącz.

5. W konsoli przejdź do Utwórz klucz i kliknij Utwórz klucz.

HowTo Connect image 2

6. Skonfiguruj podstawowe ustawienia:

Nazwa wyświetlana: dowolna etykieta, która pomoże Ci rozpoznać klucz (np. MySite Login Page).
Typ aplikacji: wybierz WEB (witryny) lub Aplikacja mobilna. Tego wyboru nie można później zmienić.
Lista domen: dodaj domeny, w których ten klucz będzie używany.

Następnie otwórz Dodatkowe ustawienia, włącz opcję Czy będziesz używać wyzwań (challenges)? i aktywuj Checkbox Challenge.

HowTo Connect image 3

7. Kliknij Utwórz. Otrzymasz klucz, który należy dodać do witryny, aby aktywować ochronę.

HowTo Connect image 3

8. Dodaj skrypt do swojej strony.

Przykładowy fragment HTML, który możesz osadzić w swojej witrynie

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Zweryfikuj odpowiedź po stronie serwera.

Przykład w PHP

Token (g-recaptcha-response) jest wysyłany do backendu.
Jest ważny przez 2 minuty, więc zweryfikuj go jak najszybciej po odebraniu! Do bezpiecznej komunikacji z API zalecamy oficjalne biblioteki Google Cloud:

<?php
require 'vendor/autoload.php';

// Zainstaluj biblioteki Google Cloud za pomocą Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Zwaliduj token reCAPTCHA Enterprise i pobierz wynik ryzyka.
 *
 * @param string $recaptchaKey Klucz reCAPTCHA Twojej witryny/aplikacji
 * @param string $token Token otrzymany od klienta
 * @param string $projectId ID projektu Google Cloud
 * @param string $action Nazwa akcji powiązana z tokenem
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Utwórz zdarzenie oceny (assessment)
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Token jest nieprawidłowy: ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Wynik ryzyka: ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'Akcja w tagu reCAPTCHA nie zgadza się z oczekiwaną wartością';
        }
    } catch (Exception $e) {
        echo 'Błąd podczas sprawdzania reCAPTCHA: ' . $e->getMessage();
    }
}

// Wywołaj funkcję z podanymi zmiennymi
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Możliwe błędy i debugowanie

Nieprawidłowa strona lub klucz

Captcha nie ładuje się lub zwraca invalid-input-secret.

Przekroczony czas

Serwer nie otrzymał odpowiedzi – wydłuż timeout.

Pusty token

Błąd przy przekazywaniu wyniku do strony.

Response success=false

Token wygasł, został ponownie użyty lub sfałszowany. Włącz logowanie i sprawdź pole error-codes w odpowiedzi Google.

Sprawdzenie odporności ochrony

Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.

Spróbuj wysłać żądanie bez rozwiązania captchy — serwer powinien zwrócić success: false.

Przeprowadź test obciążeniowy (np. przy użyciu k6 lub JMeter) przy szybkości powyżej 100 żądań na sekundę — captcha powinna być wyświetlana poprawnie, a system walidacji pozostawać stabilny.

Sprawdź reakcję serwera na przedawniony lub ponownie wysłany token — oczekiwana odpowiedź to 403 Forbidden.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Przechowuj Secret Key wyłącznie na serwerze, nie przekazuj go do części klienckiej.

Buforuj wyniki weryfikacji captchy (siteverify) przez 30–60 sekund — zmniejszy to obciążenie i przyspieszy odpowiedź.

Loguj kody błędów (error-codes), aby rozumieć, dlaczego konkretne weryfikacje nie powiodły się.

Dodaj u dołu formularza linki do Polityki prywatności i Warunków korzystania z usługi Google, jak wymaga tego licencja.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku reCAPTCHA v2 Enterprise wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować reCAPTCHA v2 Enterprise oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Utwórz projekt i poznaj reCAPTCHA v2 Enterprise →Dokumentacja CapMonster Cloud (reCAPTCHA v2 Enterprise) →Jak rozwiązać reCAPTCHA Enterprise z CapMonster Cloud – poradnik →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

reCAPTCHA v2 Enterprise i CapMonster Cloud

reCAPTCHA v2 Enterprise
i CapMonster Cloud