Реагировать Recaptcha только на клиента, это безопасно?

Question

Я пытаюсь внедрить Google Reaptcha в форму моего приложения. Я использую пакет «response-google-recaptcha».

Я объявил состояние «validation: false», и я установил recaptcha, чтобы изменить это состояние на «validation: true», когда recpatcha успешна, и форма сохраняется в базе данных только в том случае, если проверка верна.

Безопасен ли этот метод? Я видел, что Google также предлагает секретные ключи бэкэнда, и что некоторые разработчики выполняют процесс проверки в бэкэнде, но после того, как много гуглят и смотрят видео на YouTube, я все еще не могу понять, почему мне нужно настроить recaptcha в бэкэнд, если я использую реагирую.

- Безопасно ли так делать? -Может кто-нибудь обойти это? Каковы преимущества настройки секретного ключа в бэкэнде?

Answer 1

Проблема только с проверкой капчи на внешнем интерфейсе заключается в том, что кто-то еще может вызывать базовый API в автоматическом режиме. Отправка ответа по капче в вашем запросе API и проверка его в бэкэнде гарантирует, что для вызова API они должны были успешно заполнить капчу.