Ověření na straně serveru

Vždy ověřujte SilentShield nonce na svém serveru. Kontroly pouze na straně klienta mohou být obejity boty.

Proč na straně serveru?

Widget běží v prohlížeči a vkládá nonce do formulářů. Bot může widget přeskočit a odeslat formulář přímo. Ověření na straně serveru zajišťuje, že nonce byl legitimně vydán a ověřen SilentShield.

API endpoint

Method: POST
URL: https://api.silentshield.io/api/v1/captcha/verify-nonce
Headers: X-Api-Key: YOUR_API_KEY Content-Type: application/json
Body: { "nonce": "the-nonce-from-the-form" }

Formát odpovědi

Responsejson

{
  "verdict": "human",
  "score": 0.92,
  "difficulty": "pass",
  "challenge_required": false
}

human: human — Uživatel je s vysokou pravděpodobností člověk. Zpracujte formulář.
suspicious: suspicious — Uživatel může být bot. Zvažte dodatečné kontroly.
bot: bot — Vysoká jistota, že se jedná o bota. Odmítněte formulář.

Doporučená logika

Ve většině případů kontrolujte pole verdict:

Server-Side Logicjavascript

if verdict == "bot":
    reject the submission (403)
elif verdict == "suspicious":
    optionally require additional verification
else:
    process the form normally

Zpracování chyb

Pokud je SilentShield API nedostupné (timeout, 5xx chyba), rozhodněte se o své strategii:

Fail Open: Propustit — Přijměte formulář (lepší UX, méně bezpečné)
Fail Closed: Zablokovat — Odmítněte formulář (bezpečnější, horší UX)

Pro většinu aplikací doporučujeme propustit s logováním. Kritické formuláře (přihlášení, platba) by měly blokovat.