Weryfikacja po stronie serwera

Zawsze weryfikuj nonce SilentShield na swoim serwerze. Same kontrole po stronie klienta mogą zostać ominięte przez boty.

Dlaczego po stronie serwera?

Widget działa w przeglądarce i wstrzykuje nonce do formularzy. Bot może pominąć widget i przesłać formularz bezpośrednio. Weryfikacja po stronie serwera zapewnia, że nonce został legalnie wystawiony i zweryfikowany przez SilentShield.

Punkt końcowy API

Method: POST
URL: https://api.silentshield.io/api/v1/captcha/verify-nonce
Headers: X-Api-Key: YOUR_API_KEY Content-Type: application/json
Body: { "nonce": "the-nonce-from-the-form" }

Format odpowiedzi

Responsejson

{
  "verdict": "human",
  "score": 0.92,
  "difficulty": "pass",
  "challenge_required": false
}

human: human — Użytkownik jest najprawdopodobniej człowiekiem. Przetwórz formularz.
suspicious: suspicious — Użytkownik może być botem. Rozważ dodatkowe weryfikacje.
bot: bot — Wysokie prawdopodobieństwo, że to bot. Odrzuć formularz.

Zalecana logika

W większości przypadków sprawdź pole verdict:

Server-Side Logicjavascript

if verdict == "bot":
    reject the submission (403)
elif verdict == "suspicious":
    optionally require additional verification
else:
    process the form normally

Obsługa błędów

Jeśli API SilentShield jest nieosiągalne (timeout, błąd 5xx), zdecyduj o swojej strategii:

Fail Open: Przepuść — Zaakceptuj formularz (lepsza obsługa użytkownika, mniejsze bezpieczeństwo)
Fail Closed: Zablokuj — Odrzuć formularz (większe bezpieczeństwo, gorsza obsługa użytkownika)

Dla większości aplikacji zalecamy przepuszczanie z logowaniem. Krytyczne formularze (logowanie, płatności) powinny blokować.