建立驗證題目
使用公開 Site Key 取得短效 Token 與圖片。
POST /v1/captcha/create
X-Kaelith-Site-Key: pk_live_...伺服器端驗證Secret Key 不進入瀏覽器
短效且一次性降低重放與批次濫用
最小化保存不保存明文答案與原始 IP
INTEGRATION
正式串接只需要兩個步驟
前端負責取得題目;您的網站後端負責判斷答案。 驗證成功後,再執行表單寫入或其他受保護操作。
驗證使用者答案
由伺服器攜帶 Secret Key 呼叫驗證端點。
POST /v1/captcha/verify
Authorization: Bearer sk_live_...SECURITY
基礎版本仍保留必要防護
CAPTCHA 不是完整的資安方案,但可作為公開表單與 API 的第一層防濫用控制。
-
01
答案不以明文保存
資料庫保存的是 HMAC 雜湊,不保存原始 Token、明文答案與明文 IP。
-
02
限制有效時間與嘗試次數
每題 180 秒失效、最多錯誤 5 次,成功後立即作廢。
-
03
建立與驗證分開限流
正式端點與演示端點使用不同頻率限制,降低暴力測試與資源濫用。
-
04
嚴格限制來源網域
公開建立端點採精確 HTTPS Origin 清單,不使用萬用字元 CORS。