如何解决网站机器人和垃圾邮件攻击？使用josiasmontag/laravel-recaptchav3让Laravel应用更安全！

可以通过一下地址学习composer：学习地址

在当今的互联网世界，网站面临着各种各样的威胁，其中机器人注册、垃圾评论、恶意提交等自动化攻击最为常见。这些攻击不仅消耗服务器资源，污染数据，更严重的是，它们会极大地影响网站的正常运营和用户体验。

为了抵御这些自动化攻击，我们通常会想到验证码（CAPTCHA）。然而，传统的图片验证码、滑动验证码等，虽然能起到一定的防护作用，但其复杂的识别过程往往让用户感到厌烦，甚至导致用户流失。想象一下，用户在注册或提交表单时，每次都要费劲地辨认模糊的文字或图片，这种体验无疑是糟糕的。

那么，有没有一种既能有效抵御机器人，又能几乎不影响用户体验的解决方案呢？答案是肯定的：Google reCAPTCHA v3。

reCAPTCHA v3：无感验证的新范式

reCAPTCHA v3 的核心理念是“无感验证”。它不再强制用户进行任何交互，而是在后台默默地分析用户的行为模式，并为每次请求返回一个从 0.0 到 1.0 的分数。分数越高，表示用户是真人的可能性越大；分数越低，则越有可能是机器人。这种基于风险评估的验证方式，极大地提升了用户体验，因为大部分合法用户甚至不会察觉到验证码的存在。

然而，reCAPTCHA v3 的挑战在于，它需要我们开发者在后端根据这个分数进行判断和处理。对于 Laravel 开发者来说，如何优雅、高效地集成 reCAPTCHA v3 呢？这时，josiasmontag/laravel-recaptchav3 这个 Composer 包就派上用场了。

引入 josiasmontag/laravel-recaptchav3：让集成变得轻而易举

josiasmontag/laravel-recaptchav3 是一个轻量级的 Laravel 包，它专注于 reCAPTCHA v3 的后端验证，提供了一套简洁的 API，让你可以快速地将 reCAPTCHA v3 集成到你的 Laravel 应用中。

第一步：安装与配置

首先，通过 Composer 将这个包添加到你的 Laravel 项目中：

<code class="bash">composer require josiasmontag/laravel-recaptchav3</code>

安装完成后，你需要从 Google reCAPTCHA 官网（https://www.php.cn/link/944a44559d151ead6928aae68985669c）获取你的 Site Key 和 Secret Key。然后，将它们添加到你的 .env 文件中：

<code class="dotenv">RECAPTCHAV3_SITEKEY=你的SiteKey
RECAPTCHAV3_SECRET=你的SecretKey</code>

如果你需要自定义配置，也可以选择发布其配置文件：

<code class="bash">php artisan vendor:publish --provider="Lunaweb\RecaptchaV3\Providers\RecaptchaV3ServiceProvider"</code>

第二步：前端集成

reCAPTCHA v3 需要在页面加载时就运行，以便收集足够的用户行为数据。因此，你需要在网站的 或 <footer></footer> 模板中引入 reCAPTCHA 的 JavaScript：

<code class="blade">{!! RecaptchaV3::initJs() !!}</code>

接下来，在你的表单中，你需要添加一个隐藏的输入字段，用于存储 reCAPTCHA 返回的 token。RecaptchaV3::field() 方法可以帮助你自动生成这个字段：

<code class="blade"><form method="post" action="/register">
    @csrf {{-- Laravel CSRF token --}}
    {!! RecaptchaV3::field('register') !!} {{-- 'register' 是你为这个操作定义的名称 --}}
    <input type="email" name="email" placeholder="邮箱">
    <input type="password" name="password" placeholder="密码">
    <button type="submit">注册</button>
</form></code>

这里的 'register' 是一个 action 名称，它有助于 reCAPTCHA v3 更好地理解用户行为的上下文，提高评分准确性。

Programming Helper

AI代码自动生成器，在AI的帮助下更快地编程

下载

第三步：后端验证

这是最关键的一步。josiasmontag/laravel-recaptchav3 提供了一个方便的验证规则，你可以直接在 Laravel 的验证器中使用它：

<code class="php">use Illuminate\Support\Facades\Validator;
use Illuminate\Http\Request;

public function register(Request $request)
{
    $validator = Validator::make($request->all(), [
        'email' => 'required|email|unique:users',
        'password' => 'required|min:6',
        // 核心验证规则：recaptchav3:action名称,最低分数
        'g-recaptcha-response' => 'required|recaptchav3:register,0.6'
    ]);

    if ($validator->fails()) {
        return back()->withErrors($validator)->withInput();
    }

    // 验证通过，执行注册逻辑
    // ...
    return redirect('/home')->with('success', '注册成功！');
}</code>

在上面的例子中，recaptchav3:register,0.6 表示我们期望 g-recaptcha-response 字段的验证操作是 'register'，并且 reCAPTCHA 返回的分数必须大于或等于 0.6。你可以根据业务需求调整这个分数，例如，对于高风险操作（如支付），可以设置更高的分数（如 0.8），而对于低风险操作（如评论），则可以设置较低的分数（如 0.5）。

更灵活的评分处理

如果你需要根据 reCAPTCHA 的分数采取更精细的控制，例如，分数很高直接通过，分数中等需要额外验证（如邮件验证），分数很低则直接拒绝，你可以使用 RecaptchaV3::verify() 方法：

<code class="php">use Lunaweb\RecaptchaV3\Facades\RecaptchaV3;

public function submitComment(Request $request)
{
    $token = $request->get('g-recaptcha-response');
    $action = 'comment_submit'; // 假设你的评论提交操作名称是 'comment_submit'

    $score = RecaptchaV3::verify($token, $action);

    if ($score > 0.7) {
        // 分数很高，直接通过评论
        // ... 保存评论 ...
        return back()->with('success', '评论已发布。');
    } elseif ($score > 0.3) {
        // 分数中等，可能需要人工审核或额外的验证
        // ... 标记评论为待审核 ...
        return back()->with('warning', '您的评论已提交，等待审核。');
    } else {
        // 分数很低，很可能是机器人，直接拒绝
        return abort(400, '检测到可疑活动，评论被拒绝。');
    }
}</code>

其他实用功能

• 自定义错误消息：在 resources/lang/xx/validation.php 文件中，你可以为 recaptchav3 规则添加自定义错误消息：

  <code class="php">'custom' => [
      'g-recaptcha-response' => [
          'recaptchav3' => '验证失败，请刷新页面重试或联系管理员。',
      ],
  ],</code>

• 隐藏 reCAPTCHA 徽章：如果你不希望在页面上显示 reCAPTCHA 的徽章（请注意，隐藏徽章需要你明确告知用户你的网站使用了 reCAPTCHA，并提供指向其隐私政策的链接），可以通过 CSS 实现：

  <code class="css">.grecaptcha-badge { visibility: hidden !important; }</code>

• 本地化：可以通过 .env 文件设置 reCAPTCHA 的语言：

  <code class="dotenv">RECAPTCHAV3_LOCALE=zh-CN</code>

• 测试：在进行单元测试或功能测试时，你可以方便地模拟 RecaptchaV3 facade 的行为，避免实际的网络请求：

  <code class="php">use Lunaweb\RecaptchaV3\Facades\RecaptchaV3;
  
  // 模拟 verify 方法始终返回 1.0
  RecaptchaV3::shouldReceive('verify')
      ->once()
      ->andReturn(1.0);
  
  // ... 执行你的测试代码 ...</code>

总结与实践效果

通过 josiasmontag/laravel-recaptchav3 包，我们能够非常便捷地在 Laravel 应用中集成 Google reCAPTCHA v3，带来以下显著优势：

1. 提升用户体验：无感验证，几乎不打扰用户的正常操作流程。
2. 有效抵御机器人：基于行为分析的评分机制，能更智能地识别和阻止自动化攻击。
3. 开发效率高：Composer 包提供了开箱即用的功能和简洁的 API，大大减少了集成工作量。
4. 灵活的控制：支持自定义验证规则和更细粒度的分数判断逻辑，满足不同业务场景的需求。
5. 良好的可测试性：方便的 Facade Mocking 机制，让测试变得简单。

在实际应用中，集成 reCAPTCHA v3 后，我的网站垃圾注册量和垃圾评论数量显著下降，服务器资源占用也得到了优化。更重要的是，用户反馈普遍积极，因为他们不再需要与那些恼人的验证码斗智斗勇。

如果你也正被机器人和垃圾邮件困扰，那么 josiasmontag/laravel-recaptchav3 绝对是你的 Laravel 项目值得尝试的解决方案。它能让你的 Laravel 应用在享受便捷开发的同时，拥有铜墙铁壁般的安全防线，让你的用户体验更上一层楼！