ASP.NET Core 使用 Google 验证码（Google reCAPTCHA）

关心最多的问题，不FQ能不能用，答案是能。Google官方提供额外的域名来提供服务，国内能够正常使用。

一. 前言

验证码在咱们实际的生活场景中很是常见，能够防止恶意破解密码、刷票、论坛灌水、刷注册等等。如今的网站基本都有使用验证码来对用户的行为进行验证。从简单的文字验证码、图片验证码、滑动验证码、图片选择验证码等，验证码一直在进化，在和“黑恶势力”作斗争。Google 验证码是 Google 提供的一项免费的验证码服务，接入很是简单，推荐用它来替换传统的图片验证码。

二. Google reCAPTCHA 介绍

Google reCAPTCHA 目前已经推出V3版本，比V2版本更加安全并且简单。本文主要也是介绍V3版本的使用。Google reCAPTCHA 是采用用户行为验证类型的验证码，目前来讲几乎不能被打码平台自动打码（这里指 Google reCAPTCHA 并非指全部用户行为验证码，听说Google reCAPTCHA仍是用了js vmp虚拟机技术），也只能人工打码。

V2 版本，可能你们都见过：

V3 版本不须要点击

Google reCAPTCHA v3 会对每个请求返回一个评分，不须要与用户进行交互，该分数基于用户和网站的互动。它的主要流程主要分为五步：

1. 使用 sitekey 加载JavaScript API
2. 在操做或页面加载时调用 grecaptcha.execute
3. 经过请求将令牌发送到后端
4. 后端将令牌和 SecretKey 发送到 Google 进行验证，Google 将会给你返回一个评分
5. 判断评分是否和符合要求

评分的数值在0-1之间，越大表示用户越真实，0表示机器人。

你们可能比较关心，国内网络没法正常使用 Google reCAPTCHA ，这点 Google 给了个解决方案，提供了一个额外的域名，来解决 www.google.com 没法正常访问的问题，后文详细介绍。

三. ASP.NET Core 接入

接入过程当中会用到XXX上网，请自备。

1. 获取 Google reCAPTCHA V3 Key

Key 主要分为两个 SiteKey 和 SecretKey，它们分别用于前端和后端。访问此处来建立 Key： https://www.google.com/recaptcha/admin/create

须要注意两个地方，版本选择V3，而后域名填写你网站的域名，因为是在本地进行开发测试，因此我这里直接填写 localhost。

注册成功后保存这两个 Key

2. ASP.NET Core 接入

（1）建立一个 ASP.NET Core MVC 项目

（2）执行命令安装 reCAPTCHA 组件

dotnet add package Unicorn.reCAPTCHA.AspNetCore

（3）打开 appsettings.json 添加配置

"RecaptchaSettings": {
  "SiteKey": "<你的SiteKey>",
  "SecretKey": "<你的SecretKey>",
  "Version": "v3",
  "Domain": "www.recaptcha.net"
}

Domain 指使用的 Google reCAPTCHA 服务的域名，能够是www.recaptcha.net 或者 www.google.com，使用前者能够在国内正常使用，不受GFW影响。

（5）在 Startup ConfigureServices 方法里配置

services.AddGoogleRecaptcha(Configuration.GetSection("RecaptchaSettings"));

（5）添加一个登陆表单 （Razor），并添加 Google reCAPTCHA JS

<script src="https://www.recaptcha.net/recaptcha/api.js?render=<你的SiteKey>"></script>
  <script>
  grecaptcha.ready(function() {
      grecaptcha.execute('<你的SiteKey>', {action: 'login'}).then(function(token) {
         //将Token写入隐藏域等等
      });
  });
  </script>

前端代码：

（6）后端验证

AccountViewModel:

public class AccountViewModel
{
    [Required]
    public string Username { get; set; }

    [Required]
    public string Password { get; set; }

    public string GoogleToken { get; set; }
}

后端代码：

public class AccountController : Controller
{
    private readonly IRecaptchaService _recaptcha;

    public AccountController(IRecaptchaService recaptcha)
    {
        _recaptcha = recaptcha;
    }
    // GET
    [HttpGet]
    public IActionResult Login()
    {
        return
        View();
    }

    [HttpPost]
    public async Task<IActionResult> Login(AccountViewModel model)
    {
        if (ModelState.IsValid)
        {
            var recaptchaReault = await _recaptcha.Validate(model.GoogleToken);

            if (!recaptchaReault.success || recaptchaReault.score == 0m)
            {
                ModelState.AddModelError(string.Empty,"人机验证失败，请稍后重试");
            }
        }

        return View(model);
    }
}

主要的验证逻辑：

var recaptchaReault = await _recaptcha.Validate(model.GoogleToken);

if (!recaptchaReault.success || recaptchaReault.score == 0m)
{
    ModelState.AddModelError(string.Empty,"人机验证失败，请稍后重试");
}

注入 IRecaptchaService 使用其 Validate 方法来进行验证，须要将前端生成的Token传入，返回的结果 success 表示Token是否有效，score 表示返回的评分

四.测试运行

咱们将验证逻辑的阈值改成 1，实际上不多能到达这个表示完美的值，以此来触发验证失败的状况：

能够看到咱们的页面显示了验证失败：

将阈值改回0，将会正常经过验证。

五.资料

Google reCAPTCHA v3 doc

Google reCAPTCHA v3 faq

reCAPTCHA.AspNetCore （博主修改版 推荐）

基于原版Fork修改，原版我已经提交了pr和issues等待做者更新

reCAPTCHA.AspNetCore （原版）

Admin Console 验证码使用状况

Demo：reCAPTCHATest

六.结束

Google reCAPTCHA 基于其很是安全的特性以及简便的使用方法和免费，推荐你们使用它，特别是替换现有的图片验证码。

有许多人可能怕由于网络缘由，不敢在生产环境使用它，国内目前我发现了开源中国已经用于生产环境：
https://www.oschina.net/home/reg