还在为复杂的 CAPTCHA 验证困扰您的用户体验吗?Cloudflare Turnstile 为我们带来了一个优雅的解决方案。作为新一代的智能验证服务,它不仅能有效识别并拦截恶意机器人,更重要的是能让真实用户享受到丝滑般的网站体验。
为什么选择 Turnstile? 🚀 零感知验证 – 无需传统的图片识别验证码
🔒 强大的安全防护 – 智能识别并阻挡自动化攻击
🌐 通用性强 – 可在任何网站使用,不限于 Cloudflare 的站点
⚡ 性能出众 – 对网站性能影响微乎其微
这篇教程将带您一步步在 Next.js 项目中集成 Turnstile。虽然过程相对简单,但基于实践经验,我们会重点关注一些容易被忽视的技术细节,帮助您实现真正完美的集成。
这里的markdown排版不太好用,可以我的博客阅读体验会好一些
一.创建 Cloudflare 账户并配置 Turnstile 首先,您需要:
创建或登录 Cloudflare 账户–访问 Turnstile 控制面板–点击”添加小组件”创建新的验证组件
创建组件
在小部件设置中,添加您的域并选择“托管”模式,确保将其添加localhost到您的域以用于开发目的。
设置模式
二. 获取必要的密钥 在创建验证组件后,您将获得两个重要的密钥:
Site Key: 用于客户端集成
Secret Key: 用于服务端验证
获取密钥
三. 项目结构设计 在开始编码之前,让我们先了解一下完整的项目结构
带插入图片
四.初始化一个nextjs项目,并添加环境变量 在开始集成 Turnstile 之前,我们需要先创建并配置一个 Next.js 项目。
创建 Next.js 项目
使用 create-next-app 创建项目
npx create-next-app@latest my-turnstile-app cd my-turnstile-app 添加env环境变量 在env文件中添加刚才获取的key
NEXT_PUBLIC_TURNSTILE_SITE_KEY=your_site_key_here TURNSTILE_SECRET_KEY=your_secret_key_here
五.定义接口 首先让我们定义一个接口组件,这个接口将作为我们的基础验证组件。它主要提供以下功能:
支持自定义验证栏的背景颜色(深色/浅色主题) 提供多语言支持,方便国际化 集成 Turnstile 的回调机制,处理验证结果
'use client'; import Script from 'next/script'; import { useCallback, useEffect, useRef } from 'react'; interface TurnstileWidgetProps { onVerify: (token: string) => void; theme?: 'light' | 'dark'; language?: string; } const TurnstileWidget: React.FC<TurnstileWidgetProps> = ({ onVerify, theme = 'dark', language = 'zh-CN' }) => { const divRef = useRef<HTMLDivElement>(null); const renderWidget = useCallback(() => { if (divRef.current && window.turnstile) { window.turnstile.render(divRef.current, { sitekey: process.env.NEXT_PUBLIC_TURNSTILE_SITE_KEY as string, callback: onVerify, theme, language, }); } }, [theme, language, onVerify]); useEffect(() => { // 只在 turnstile 可用时渲染 if (window.turnstile) { renderWidget(); } const currentRef = divRef.current; // 清理函数:组件卸载或依赖项改变时移除 widget return () => { if (currentRef) { window.turnstile?.remove(currentRef); } }; }, [renderWidget, theme, language, onVerify]); return (<> <Script src="https://challenges.cloudflare.com/turnstile/v0/api.js" onLoad={ renderWidget } /> <div ref={divRef} /> </>); }; export default TurnstileWidget; 这个接口组件使用了 Next.js 的 Script 组件来按需加载 Turnstile 的脚本,这样可以优化页面加载性能。同时,我们还实现了完整的生命周期管理,确保组件在卸载时能够正确清理资源。
六.定义表单组件 接下来,我们创建一个实际的表单组件来展示如何使用 Turnstile 验证。这个组件的主要特点包括:
集成了我们刚才创建的 Turnstile 接口组件 实现了完整的表单状态管理 提供了友好的加载和错误状态提示 使用 TypeScript 确保类型安全
'use client'; import { useState, FormEvent } from 'react'; import TurnstileWidget from './TurnstileWidget'; interface FormData { email: string; password: string; } interface ApiResponse { message?: string; error?: string; } // 添加状态类型 type StatusType = 'success' | 'error' | ''; const ContactForm = () => { const [formData, setFormData] = useState<FormData>({ email: '', password: '', }); const [turnstileToken, setTurnstileToken] = useState<string>(''); const [status, setStatus] = useState<{ type: StatusType; message: string }>({ type: '', message: '' }); const [isSubmitting, setIsSubmitting] = useState<boolean>(false); const handleSubmit = async (e: FormEvent<HTMLFormElement>) => { e.preventDefault(); if (!turnstileToken) { setStatus({ type: 'error', message: '请完成人机验证' }); return; } setIsSubmitting(true); try { const response = await fetch('/api/contact', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ ...formData, turnstileToken, }), }); const data: ApiResponse = await response.json(); if (response.ok) { setStatus({ type: 'success', message: '提交成功!' }); setFormData({ email: '', password: '' }); } else { setStatus({ type: 'error', message: `错误: ${data.error || '未知错误'}` }); } } catch (error) { setStatus({ type: 'error', message: '提交失败,请重试' }); console.error('Form submission error:', error); } finally { setIsSubmitting(false); } }; return ( <form onSubmit={handleSubmit} className="mx-auto mt-16 max-w-xl sm:mt-20"> <div className="grid grid-cols-1 gap-x-8 gap-y-6 sm:grid-cols-2"> <div className="sm:col-span-2"> <label htmlFor="email" className="block text-sm/6 font-semibold text-gray-900"> 邮箱 </label> <div className="mt-2.5"> <input type="email" id="email" value={formData.email} onChange={(e) => setFormData(prev => ({ ...prev, email: e.target.value }))} required className="block w-full rounded-md border-0 px-3.5 py-2 text-gray-900 shadow-sm ring-1 ring-inset ring-gray-300 placeholder:text-gray-400 focus:ring-2 focus:ring-inset focus:ring-indigo-600 sm:text-sm/6" /> </div> </div> <div className="sm:col-span-2"> <label htmlFor="password" className="block text-sm/6 font-semibold text-gray-900"> 密码 </label> <div className="mt-2.5"> <input type="password" id="password" value={formData.password} onChange={(e) => setFormData(prev => ({ ...prev, password: e.target.value }))} required className="block w-full rounded-md border-0 px-3.5 py-2 text-gray-900 shadow-sm ring-1 ring-inset ring-gray-300 placeholder:text-gray-400 focus:ring-2 focus:ring-inset focus:ring-indigo-600 sm:text-sm/6" /> </div> </div> <div className="sm:col-span-2"> <TurnstileWidget onVerify={setTurnstileToken} theme="dark" language='en' /> </div> {status.message && ( <div className="sm:col-span-2"> <p className={`text-sm ${status.type === 'error' ? 'text-red-600' : 'text-green-600'}`}> {status.message} </p> </div> )} </div> <div className="mt-10"> <button type="submit" disabled={isSubmitting} className={`block w-full rounded-md px-3.5 py-2.5 text-center text-sm font-semibold text-white shadow-sm ${ isSubmitting ? 'bg-indigo-400 cursor-not-allowed' : 'bg-indigo-600 hover:bg-indigo-500 focus-visible:outline focus-visible:outline-2 focus-visible:outline-offset-2 focus-visible:outline-indigo-600' }`} > {isSubmitting ? '提交中...' : '提交'} </button> </div> </form> ); }; export default ContactForm; 组件中包含了一些关键的状态处理,表单数据状态管理,验证token的存储和处理,提交状态的追踪,错误信息的展示
七.定义 API 路由
为了处理表单提交,我们需要创建一个后端 API 路由。这个路由主要负责:
接收前端提交的表单数据和验证token
与 Cloudflare 服务器通信验证 token 的有效性
处理验证结果并返回适当的响应
然后定义一个API 路由类型和实现
interface TurnstileVerificationResponse { success: boolean; error_codes?: string[]; challenge_ts?: string; hostname?: string; } interface RequestBody extends FormData { turnstileToken: string; } export async function POST(request: Request) { try { const body: RequestBody = await request.json(); const { turnstileToken, ...formData } = body; // 验证 Turnstile token const verificationResponse = await fetch( 'https://challenges.cloudflare.com/turnstile/v0/siteverify', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ secret: process.env.TURNSTILE_SECRET_KEY, response: turnstileToken, }), } ); const verificationData: TurnstileVerificationResponse = await verificationResponse.json(); if (!verificationData.success) { console.error('Turnstile verification failed:', verificationData['error_codes']); return Response.json( { error: '验证码验证失败' }, { status: 400 } ); } // 验证通过,处理表单数据 // 这里添加你的业务逻辑,比如发送邮件或保存到数据库 console.log(formData) return Response.json({ message: '提交成功' }); } catch (error) { console.error('API route error:', error); return Response.json( { error: '服务器错误' }, { status: 500 } ); } } 在这个部分,我们重点关注了几个安全相关的问题:
确保所有请求都经过 Turnstile 验证,妥善处理验证失败的情况,提供清晰的错误信息.
八.创建测试页面
最后,我们创建一个测试页面来集成所有组件。
import ContactForm from "../components/ContactForm"; export default function ContactPage() { return ( <div className="container mx-auto p-4"> <h1 className="text-2xl font-bold mb-4">联系我们</h1> <ContactForm /> </div> ); } 九.本地运行测试
结语
原文通过这个教程,我们不仅完成了 Turnstile 的基础集成,更重要的是掌握了一些实用的开发技巧。希望这些内容能帮助您在项目中构建更安全、更友好的用户验证机制。在实际部署时候,需要注意确保环境变量正确配置,检查域名设置是否包含了所有需要的域名. 如果您在集成过程中遇到任何问题,欢迎在评论区留言讨论。