Привет, Хабр! На связи разработчик Peakline — аналитической платформы для Strava. Сегодня я хочу поделиться опытом внедрения Cloudflare Turnstile в веб-приложение на FastAPI. Это решение позволило мне отказаться от назойливых CAPTCHA, улучшить пользовательский опыт и при этом надежно защитить формы регистрации и входа от ботов.

Боль традиционных CAPTCHA

Каждый, кто хоть раз вводил логин и пароль в интернете, сталкивался с ними: "Выберите все светофоры", "Введите искаженный текст", "Я не робот". Классические CAPTCHA, особенно reCAPTCHA от Google, стали синонимом раздражения. Они не только прерывают пользовательский путь, но и вызывают вопросы о конфиденциальности, собирая огромное количество данных.

Для моего проекта, где важен быстрый и удобный доступ к аналитике, такой барьер был неприемлем. Я искал решение, которое было бы:

• Эффективным против ботов.

• Незаметным для легитимных пользователей.

• Простым в интеграции.

• Бесплатным.

И я его нашел.

Что такое Cloudflare Turnstile?

Turnstile — это современная альтернатива CAPTCHA от Cloudflare. Его главная фишка — он не заставляет пользователей решать головоломки. Вместо этого Turnstile запускает в браузере небольшой набор неинтрузивных JavaScript-тестов, которые собирают данные о поведении и окружении браузера. Эти сигналы отправляются на сервер Cloudflare, где умные алгоритмы определяют, человек перед ними или бот.

Ключевые преимущества:

• Невидимость для пользователя: В большинстве случаев проверка проходит в фоновом режиме за доли секунды. Никаких кликов и картинок.

• Конфиденциальность: Turnstile не использует cookie и не отслеживает пользователей между сайтами для построения рекламных профилей, в отличие от reCAPTCHA.

• Простота интеграции: Добавить Turnstile на сайт можно буквально за 5 минут.

• Бесплатность: Сервис полностью бесплатен для неограниченного числа проверок.

Шаг 1: Интеграция на фронтенде

Для начала нужно получить ключи (Site Key и Secret Key) в панели управления Cloudflare. Это бесплатно, даже если ваш сайт не использует другие сервисы Cloudflare.

Теперь добавим виджет на страницы регистрации (register.html) и входа (email_login.html). Я использую шаблонизатор Jinja2, но логика будет аналогична для любого фреймворка.

1. Подключаем скрипт. В секцию <head> добавляем скрипт Turnstile.

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

2. Добавляем виджет в форму. Внутри тега <form> размещаем div-элемент, который и будет нашим виджетом.

<form id="login-form">
    <!-- Поля для email и пароля -->
    <div class="form-group">
        <label for="email" class="form-label">Email</label>
        <input type="email" id="email" name="email" class="form-input" required>
    </div>
    <div class="form-group">
        <label for="password" class="form-label">Пароль</label>
        <input type="password" id="password" name="password" class="form-input" required>
    </div>

    <!-- Вот и сама капча! -->
    <div class="cf-turnstile"
         data-sitekey="{{ TURNSTILE_SITE_KEY }}"
         data-theme="auto">
    </div>

    <button type="submit" class="btn btn-primary">Войти</button>
</form>

Обратите внимание на атрибут data-sitekey. Я передаю его из бэкенда как переменную окружения, чтобы не "зашивать" ключ прямо в HTML. data-theme="auto" автоматически подстроит внешний вид виджета под светлую или темную тему вашего сайта.

Когда пользователь отправляет форму, Turnstile автоматически добавляет в данные формы скрытое поле cf-turnstile-response. Мне нужно только извлечь его с помощью JavaScript и отправить на бэкенд.

document.getElementById('login-form').addEventListener('submit', async (e) => {
    e.preventDefault();

    const formData = new FormData(e.target);
    const data = {
        email: formData.get('email'),
        password: formData.get('password'),
        // Получаем токен от виджета
        "cf-turnstile-response": formData.get('cf-turnstile-response')
    };

    // Отправляем данные на наш API
    await fetch('/api/auth/login', {
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify(data)
    });
});

Фронтенд готов!

Шаг 2: Валидация на бэкенде (FastAPI)

Самое интересное происходит на сервере. Мне нужно взять полученный токен cf-turnstile-response и отправить его в Cloudflare для проверки.

1. Модели Pydantic. Я использую Pydantic для валидации входящих данных. Добавим поле для токена в модели входа и регистрации.

from pydantic import BaseModel, Field

class EmailLogin(BaseModel):
    email: str
    password: str
    cf_turnstile_response: str = Field(..., alias="cf-turnstile-response")

class EmailRegistration(BaseModel):
    email: str
    password: str
    # ... другие поля
    cf_turnstile_response: str = Field(..., alias="cf-turnstile-response")

2. Асинхронная функция проверки. Напишем простую асинхронную функцию, которая будет делать POST-запрос к API Cloudflare. Для этого идеально подходит библиотека aiohttp.

import os
import aiohttp
from loguru import logger # Я использую loguru для логирования

async def verify_turnstile(token: str, ip: str) -> bool:
    """Проверяет токен Cloudflare Turnstile."""
    secret_key = os.getenv("TURNSTILE_SECRET_KEY")
    if not secret_key:
        logger.error("TURNSTILE_SECRET_KEY is not set. Skipping validation.")
        # В проде здесь лучше возвращать False
        return True

    payload = {
        "secret": secret_key,
        "response": token,
        "remoteip": ip
    }

    try:
        async with aiohttp.ClientSession() as session:
            async with session.post("https://challenges.cloudflare.com/turnstile/v0/siteverify", data=payload) as response:
                if response.status == 200:
                    result = await response.json()
                    if result.get("success"):
                        logger.info(f"Turnstile validation successful for IP: {ip}")
                        return True
                    else:
                        logger.warning(f"Turnstile validation failed for IP: {ip}. Errors: {result.get('error-codes')}")
                        return False
                else:
                    logger.error(f"Failed to verify Turnstile token. Status: {response.status}")
                    return False
    except Exception as e:
        logger.exception(f"An exception occurred during Turnstile verification: {e}")
        return False

3. Интеграция в эндпоинты. Теперь вызовем нашу функцию в самом начале эндпоинтов регистрации и входа.

from fastapi import FastAPI, Request, HTTPException

app = FastAPI()

@app.post("/api/auth/login")
async def login_email_user(request: Request, login_data: EmailLogin):
    """Вход пользователя по email и паролю с проверкой Turnstile."""

    # Первым делом — проверка CAPTCHA!
    if not await verify_turnstile(login_data.cf_turnstile_response, request.client.host):
        raise HTTPException(status_code=403, detail="Invalid CAPTCHA. Please try again.")

    # ... остальная логика входа ...

    return {"status": "success"}

@app.post("/api/auth/register")
async def register_email_user(request: Request, registration: EmailRegistration):
    """Регистрация нового пользователя с проверкой Turnstile."""
    
    # И здесь тоже
    if not await verify_turnstile(registration.cf_turnstile_response, request.client.host):
        raise HTTPException(status_code=403, detail="Invalid CAPTCHA. Please try again.")

    # ... остальная логика регистрации ...

    return {"status": "success"}

Готово! Теперь формы надежно защищены.

Заключение

Интеграция Cloudflare Turnstile заняла у меня меньше часа, но принесла огромную пользу. Я избавился от раздражающей капчи, сделал процесс входа и регистрации более плавным и не пожертвовал безопасностью. Если вы ищете современное, удобное и бесплатное решение для защиты от ботов — настоятельно рекомендую попробовать Turnstile.

Надеюсь, мой опыт будет вам полезен. Успешных проектов!