SvelteKit Superforms 集成 reCAPTCHA 验证的最佳实践

在 Web 应用开发中，表单安全验证是必不可少的一环。本文将详细介绍如何在 SvelteKit 项目中，结合 Superforms 表单处理库与 Google reCAPTCHA 验证系统，实现安全可靠的表单提交验证机制。

reCAPTCHA 验证机制概述

reCAPTCHA 是 Google 提供的免费验证服务，主要用于区分人类用户和自动化程序。目前主要有两种版本：

1. reCAPTCHA v2：经典的"我不是机器人"复选框验证
2. reCAPTCHA v3：无感验证，通过用户行为评分判断是否为机器人

在 SvelteKit 项目中，我们需要同时处理客户端 token 生成和服务器端验证两个环节。

客户端实现方案

基础配置

首先需要在页面中加载 reCAPTCHA 脚本：

<svelte:head>
  <script
    src="https://www.google.com/recaptcha/api.js?render=你的站点密钥"
    async
    defer
  ></script>
</svelte:head>

创建 reCAPTCHA 工具函数

建议将 reCAPTCHA 相关操作封装为可复用的工具函数：

export async function createReCaptchaClient(
  formToken: string | undefined,
  grecaptcha: ReCaptchaV2.ReCaptcha
) {
  return new Promise((resolve) => {
    if (formToken) {
      resolve(formToken);
    } else {
      return grecaptcha.ready(function () {
        grecaptcha.execute(你的站点密钥, { action: 'submit' })
          .then(function (token: string) {
            resolve(token);
          });
      });
    }
  });
}

与 Superforms 集成

在表单组件中，我们可以利用 Superforms 的 onSubmit 钩子来添加 reCAPTCHA token：

<script lang="ts">
  const { form, enhance } = superForm(data.form, {
    onSubmit: async ({ formData }) => {
      const token = await createReCaptchaClient($form.token, window.grecaptcha);
      formData.append('token', String(token));
    },
  });
</script>

<form method="POST" use:enhance>
  <!-- 表单内容 -->
</form>

服务器端验证实现

验证工具函数

同样地，服务器端验证也可以封装为工具函数：

export async function validateReCaptchaServer(
  token: string,
  fetch: typeof window.fetch,
  secret: string
) {
  const res = await fetch('https://www.google.com/recaptcha/api/siteverify', {
    method: 'POST',
    headers: {
      'content-type': 'application/x-www-form-urlencoded',
    },
    body: `secret=${secret}&response=${token}`,
  });
  return await res.json();
}

在表单动作中验证

在表单提交动作中，我们需要验证客户端传回的 token：

export const actions = {
  submit: async (event) => {
    const { request, fetch } = event;
    const form = await superValidate(request, schema);

    if (!form.valid) {
      return fail(400, { form });
    }

    // reCAPTCHA 验证
    const gToken = form.data.token;
    if (!gToken) {
      return message(form, '无效的 reCAPTCHA token', { status: 400 });
    }
    
    const res = await validateReCaptchaServer(gToken, fetch, 你的密钥);
    if (!res.success) {
      return message(form, 'reCAPTCHA 验证失败', { status: 400 });
    }

    // 验证通过后的业务逻辑
    // ...
  }
}

注意事项

1. 环境区分：开发环境下可能需要特殊处理 localhost 的验证
2. 评分阈值：reCAPTCHA v3 建议设置适当的评分阈值（如 0.6）
3. 错误处理：需要妥善处理各种可能的错误情况
4. Svelte 5 兼容性：最新版本可能需要调整实现方式

通过以上方案，我们可以在 SvelteKit 项目中实现完整的前后端 reCAPTCHA 验证流程，有效防止自动化程序滥用表单，同时保持用户体验的流畅性。这种集成方式既利用了 Superforms 的强大表单处理能力，又结合了 reCAPTCHA 的安全验证功能，是表单安全处理的理想选择。