Serververificatie

Verifieer de SilentShield Nonce altijd op uw server. Alleen client-side controles kunnen door bots worden omzeild.

Waarom serververificatie?

De Widget draait in de browser en injecteert een Nonce in formulieren. Een bot zou de Widget kunnen overslaan en het formulier rechtstreeks verzenden. Serververificatie garandeert dat de Nonce legitiem is uitgegeven en geverifieerd door SilentShield.

API-endpoint

Method: POST
URL: https://api.silentshield.io/api/v1/captcha/verify-nonce
Headers: X-Api-Key: YOUR_API_KEY Content-Type: application/json
Body: { "nonce": "the-nonce-from-the-form" }

Responsformaat

Responsejson

{
  "verdict": "human",
  "score": 0.92,
  "difficulty": "pass",
  "challenge_required": false
}

human: human — Gebruiker is zeer waarschijnlijk een mens. Verwerk het formulier.
suspicious: suspicious — Gebruiker is mogelijk een bot. Overweeg aanvullende controles.
bot: bot — Hoge zekerheid dat dit een bot is. Weiger het formulier.

Aanbevolen logica

Controleer in de meeste gevallen het verdict-veld:

Server-Side Logicjavascript

if verdict == "bot":
    reject the submission (403)
elif verdict == "suspicious":
    optionally require additional verification
else:
    process the form normally

Foutafhandeling

Als de SilentShield API onbereikbaar is (time-out, 5xx-fout), bepaal dan uw strategie:

Fail Open: Fail open — Accepteer het formulier (betere gebruikerservaring, minder veilig)
Fail Closed: Fail closed — Weiger het formulier (veiliger, slechtere gebruikerservaring)

Voor de meeste toepassingen raden wij fail open met logging aan. Kritieke formulieren (inloggen, betaling) dienen fail closed te zijn.