Extensão para navegadores

Para empresas

Preços

Blog

Documentos

Português

reCAPTCHA v2 Enterprise
e CapMonster Cloud

Resolver captchas, integrar ao site e testar ponta a ponta.

Você herdou um site com captcha ou outra camada de proteção, mas não tem acesso ao código-fonte? Então é normal querer saber qual solução está instalada, se a configuração está correta e como testar tudo.

Neste artigo, procuramos responder a todas as principais dúvidas. Para começar a resolver o problema, o primeiro passo é identificar qual sistema de proteção está sendo utilizado. Para isso, você pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde há exemplos visuais e sinais principais que ajudam a identificar rapidamente com o que você está lidando.

Se você notar que o seu site utiliza reCAPTCHA v2 Enterprise, o passo seguinte é estudar com mais detalhes as suas características e o seu funcionamento. Neste mesmo artigo, você também pode conferir o guia de integração do reCAPTCHA v2 Enterprise, para entender por completo como o sistema opera no seu site. Isso permitirá não apenas compreender a proteção atual, mas também planejar adequadamente a sua manutenção.

O que é o Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise é a versão corporativa da proteção padrão do Google contra spam e ataques automatizados. Ela identifica com mais precisão se há um humano ou um bot na página e usa a API Google Cloud para validar os tokens. Visualmente é quase igual à v2 comum, com checkbox e desafios de imagem, mas carrega https://www.google.com/recaptcha/enterprise.js para garantir segurança adicional.

Como resolver o reCAPTCHA v2 Enterprise usando CapMonster Cloud

Ao testar formulários com reCAPTCHA v2 Enterprise, é comum precisar confirmar se a captcha está funcionando e integrada corretamente.

Você pode testar manualmente a captcha incorporada no site.

Abra a página do formulário e veja se a captcha é exibida.
Tente enviar sem resolver — o servidor deve retornar erro.
Depois de resolver corretamente, o envio precisa ocorrer sem falhas.

Para resolver automaticamente use ferramentas como o CapMonster Cloud, que recebe os parâmetros da captcha, processa em seus servidores e devolve um token pronto. Basta inseri-lo no formulário para passar na verificação sem interação humana.

Trabalhar com o CapMonster Cloud via API normalmente envolve as etapas abaixo:

Criação da tarefa

Nesta etapa você envia a chave de API, o tipo de captcha e os parâmetros. O serviço devolve um taskId único para buscar o resultado posteriormente.

Envio da requisição API

Sua requisição deve incluir:

type - RecaptchaV2EnterpriseTask;

websiteURL - URL da página onde a captcha aparece;

websiteKey - sitekey exibido na página;

enterprisePayload - informe caso o widget reCAPTCHA Enterprise envie um campo s adicional no objeto passado ao grecaptcha.enterprise.render junto com o sitekey;

pageAction - valor action enviado pelo widget para o Google (padrão: verify).

Saiba mais sobre os parâmetros e como capturá-los automaticamente antes de enviar a tarefa na documentação do CapMonster Cloud.

Endpoint para envio da tarefa:

https://api.capmonster.cloud/createTask

Exemplo de requisição:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Recebimento do resultado

Após criar a tarefa, consulte periodicamente o status da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de requisição:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Aplicação do token na página

Insira o token retornado ("gRecaptchaResponse") em um campo oculto de formulário ou passe-o para uma função JS e confirme a solução. O servidor aceitará o formulário como válido. Para automatizar, utilize Puppeteer, Selenium ou Playwright para emular ações do usuário, aplicar tokens e enviar formulários.

Você também pode optar pela solução baseada em cliques. Consulte a documentação do CapMonster Cloud para mais informações.

Resolva reCAPTCHA v2 Enterprise com bibliotecas prontas

CapMonster Cloud fornece SDKs para Python, JavaScript (Node.js) e C#.

Python

JavaScript

Resolver, inserir o token e enviar o formulário

Exemplo em Node.js que cobre o ciclo completo na sua página: obter HTML e parâmetros via HTTP, enviar a resposta e processar o resultado; ou usar ferramentas de automação (como Playwright) para abrir a página, aguardar a captcha, enviar parâmetros (inclusive para testes), receber o resultado com o cliente CapMonster Cloud, inserir o token no formulário e observar o comportamento.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Abra a página com a captcha
  await page.goto('https://example.com');

  // 3. Crie o cliente CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Configure a requisição para resolver a captcha
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Parâmetro enterprise opcional
  });

  // 5. Resolva a captcha usando CapMonster
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Token do captcha:', token);

  // 6. Insira o token em um campo oculto
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Opcional) Envie o formulário — ajuste o seletor
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Com a extensão CapMonster Cloud para navegador você testa a captcha direto na página e acompanha a solução em tempo real, sem precisar escrever código. Disponível para Chrome e Firefox.

Como conectar o reCAPTCHA v2 Enterprise ao seu site

Para entender como o captcha funciona no seu site, como a validação se comporta e como reconectar ou reconfigurar tudo, consulte esta seção. Ela mostra passo a passo toda a configuração de proteção para que você consiga cobrir rapidamente todos os detalhes.

Como o reCAPTCHA Enterprise roda no Google Cloud, você precisa primeiro criar um projeto no console:

1. Acesse o Google Cloud Console.

2. No menu superior, escolha um projeto existente ou clique em Novo projeto.

3. Digite um nome para o projeto, informe sua organização e confirme a criação.

HowTo Connect image 1

4. Abra a página da API: reCAPTCHA Enterprise API e clique em Ativar.

5. No console, vá até Criar chave e clique em Criar chave.

HowTo Connect image 2

6. Configure as configurações básicas:

Nome de exibição: qualquer rótulo que ajude você a identificar a chave (por exemplo, MySite Login Page).
Tipo de aplicativo: escolha WEB (sites) ou Aplicativo móvel. Você não poderá alterar isso depois.
Lista de domínios: adicione os domínios em que essa chave será usada.

Depois, abra as Configurações adicionais, ative Você usará desafios? e habilite Checkbox Challenge.

HowTo Connect image 3

7. Clique em Criar. Você receberá uma chave que precisa ser adicionada ao seu site para ativar a proteção.

HowTo Connect image 3

8. Adicione o script à sua página.

Exemplo de trecho HTML que você pode incorporar no seu site

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Valide a resposta no servidor.

Exemplo em PHP

O token (g-recaptcha-response) é enviado para o backend.
Ele é válido por 2 minutos, então faça a verificação assim que recebê-lo! Para uma comunicação segura com a API recomendamos as bibliotecas oficiais do Google Cloud:

<?php
require 'vendor/autoload.php';

// Instale as bibliotecas do Google Cloud via Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Valide o token do reCAPTCHA Enterprise e obtenha a pontuação de risco.
 *
 * @param string $recaptchaKey Chave reCAPTCHA do seu site/aplicativo
 * @param string $token Token recebido do cliente
 * @param string $projectId ID do projeto do Google Cloud
 * @param string $action Nome da ação associada ao token
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Crie o evento de avaliação (assessment)
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Token inválido: ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Pontuação de risco: ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'A ação na tag do reCAPTCHA não corresponde ao valor esperado';
        }
    } catch (Exception $e) {
        echo 'Erro ao verificar o reCAPTCHA: ' . $e->getMessage();
    }
}

// Chame a função passando as variáveis
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Possíveis erros e depuração

Site ou chave inválidos

A captcha não carrega ou retorna invalid-input-secret.

Tempo limite excedido

O servidor não recebeu a resposta a tempo. Aumente o timeout.

Token vazio

Houve erro ao passar o resultado para a página.

Response success=false

O token expirou, foi reutilizado ou adulterado. Ative o log das requisições e confira o campo error-codes na resposta do Google.

Verificação da robustez

Depois da integração, confirme que o sistema de fato protege o site contra ações automatizadas.

Tente enviar uma requisição sem resolver o captcha — o servidor deve retornar success: false.

Realize um teste de carga (por exemplo, com k6 ou JMeter) em uma taxa acima de 100 requisições por segundo — o captcha deve ser exibido corretamente e o sistema de validação deve permanecer estável.

Verifique a resposta do servidor com um token expirado ou reenviado — a resposta esperada deve ser 403 Forbidden.

Recomendações de segurança e otimização

Armazene a Secret Key apenas no servidor e nunca a envie para o lado do cliente.

Faça cache dos resultados da verificação do captcha (siteverify) por 30–60 segundos — isso reduz a carga e acelera o tempo de resposta.

Registre (logue) os códigos de erro (error-codes) para entender por que verificações específicas falharam.

Adicione, na parte inferior do formulário, links para a Política de Privacidade e para os Termos de Uso do Google, conforme exigido pela licença.

Conclusão

Se você herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não tem problema! É bem fácil identificar qual tecnologia está sendo usada. Para verificar se tudo está funcionando corretamente, você pode usar o serviço de reconhecimento CapMonster Cloud em um ambiente de testes isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estejam funcionando corretamente.

No caso de reCAPTCHA v2 Enterprise, basta identificar o sistema, analisar o comportamento dele e se certificar de que a proteção está funcionando corretamente. No artigo, mostramos como identificar reCAPTCHA v2 Enterprise e onde encontrar instruções para a integração ou reconfiguração, para que você consiga manter a proteção com segurança e controlar o funcionamento dela.

Links úteis

Crie um projeto e saiba mais sobre reCAPTCHA v2 Enterprise →Documentação do CapMonster Cloud (reCAPTCHA v2 Enterprise) →Como resolver reCAPTCHA Enterprise com CapMonster Cloud – passo a passo →

A extensão do CapMonster Cloud para navegador está disponível para Chrome e Firefox. Veja o passo a passo completo neste link.

reCAPTCHA v2 Enterprise e CapMonster Cloud

reCAPTCHA v2 Enterprise
e CapMonster Cloud