Login
Prova gratuita

Alternativa Keycloak reCAPTCHA per le squadre europee (2026)

Illustrazione alternativa di Keycloak reCAPTCHA per i team europei, che mostra una casella di controllo “Non sono un robot” sostituita da un sistema di verifica degli utenti .eu con uno scudo di sicurezza, la bandiera dell'UE e le icone dei Paesi europei.
captcha.eu

Keycloak viene fornito con reCAPTCHA integrato nel flusso di registrazione. Per le organizzazioni europee, questa impostazione predefinita crea cookie, trasferimenti di dati negli Stati Uniti e un onere di documentazione sulla privacy nei tre flussi più importanti: login, registrazione e reimpostazione della password. Questa guida spiega come sostituire reCAPTCHA in Keycloak con un'alternativa senza cookie e ospitata nell'UE e illustra la configurazione esatta per ciascun flusso di autenticazione.

Tempo di lettura stimato: 12 minuti

Prova CAPTCHA.eu gratuitamente - senza carta di credito
Visualizza tutte le integrazioni

In sintesi

Il problema centrale

Il reCAPTCHA integrato di Keycloak imposta il cookie _grecaptcha, instrada la verifica attraverso l'infrastruttura di Google e crea domande di consenso ePrivacy sui flussi di autenticazione più sensibili.

Perché i flussi di autenticazione sono diversi

L'accesso, la registrazione e la reimpostazione della password sono pagine che gli utenti devono completare prima di poter accedere a qualsiasi cosa. Le dipendenze da terze parti hanno un peso maggiore in termini di conformità e sicurezza rispetto a un modulo di contatto standard.

La soluzione pratica

Un plugin CAPTCHA proof-of-work installato come JAR: nessun cookie, nessun trasferimento dagli Stati Uniti, nessun livello di consenso per il CAPTCHA stesso, con un profilo di revisione di terze parti molto più semplice e configurabile per flusso Keycloak in meno di un'ora.

Cosa tratta questa guida

A chi è rivolta questa guida

Questo articolo è stato scritto per gli amministratori IAM, i team di sicurezza, gli ingegneri della piattaforma e le organizzazioni pubbliche o regolamentate che utilizzano Keycloak in produzione e hanno bisogno di un percorso pratico di sostituzione di reCAPTCHA nei flussi di login, registrazione e reset della password.

Perché reCAPTCHA crea problemi specifici in Keycloak

La maggior parte delle discussioni sui reCAPTCHA si concentra sui moduli di contatto. Keycloak è una situazione completamente diversa. Si tratta di un sistema di gestione delle identità e degli accessi: il livello che controlla chi può accedere, creare un account o recuperare una password nelle vostre applicazioni. Ciò significa che il reCAPTCHA si trova nei flussi di autenticazione, non nelle pagine di marketing.

Per le organizzazioni europee che utilizzano Keycloak in produzione, questo crea tre problemi più gravi rispetto a un tipico modulo di un sito web.

Le implementazioni di Keycloak per le aziende e il settore pubblico sono oggetto di recensioni molto severe. I DPO, i comitati per gli acquisti e gli architetti della sicurezza pongono domande più difficili sugli script di terze parti nelle pagine di autenticazione che in qualsiasi altra parte di un sito web. Un CAPTCHA che non introduca cookie, non instradi dati statunitensi e un profilo di revisione di terze parti molto più semplice è strutturalmente più facile da difendere e più veloce da approvare.

Il cookie _grecaptcha viene eseguito sulle pagine di autenticazione. Google ha confermato che questo cookie persiste anche dopo la modifica del modello di processore dell'aprile 2026. In una pagina di login che i dipendenti o i clienti devono completare prima di poter accedere a qualsiasi servizio, non possono rinunciare in modo significativo a un cookie che protegge proprio il flusso che devono utilizzare. Questo problema è più difficile da risolvere rispetto allo stesso cookie presente in un modulo di contatto.

Percorsi di verifica attraverso l'infrastruttura di Google. Per le organizzazioni che operano in settori regolamentati come l'assistenza sanitaria, la finanza o il settore pubblico, l'elaborazione di dati personali attraverso l'infrastruttura statunitense richiede una documentazione di trasferimento attiva ai sensi del GDPR. In un sistema di autenticazione che gestisce le credenziali, questo aggiunge un sovraccarico di governance che i team di sicurezza e conformità preferirebbero evitare del tutto.

Le pagine di autenticazione hanno uno standard di sicurezza più elevato

A differenza di un modulo di contatto, i flussi di autenticazione gestiscono credenziali e token di sessione. Quando un servizio CAPTCHA di terze parti viene eseguito sulla stessa pagina, condivide il contesto del browser con questi flussi. Per le implementazioni di Keycloak nel settore regolamentato, questo va oltre la questione standard del consenso ai cookie ed entra nel territorio della revisione dell'architettura di sicurezza.

Alternative di Keycloak CAPTCHA a confronto

Diversi fornitori di CAPTCHA offrono plugin per Keycloak, ma il mercato è molto più limitato rispetto a WordPress o TYPO3. La maggior parte delle estensioni della comunità si rompe durante gli aggiornamenti delle versioni principali di Keycloak e riceve una manutenzione limitata. L'ecosistema di Keycloak CAPTCHA è molto più piccolo di quello di WordPress o TYPO3. In pratica, la maggior parte dei team che valutano un moderno livello CAPTCHA di Keycloak guarda a CAPTCHA.eu, Friendly Captcha, reCAPTCHA e un piccolo numero di opzioni gestite dalla comunità, come le integrazioni ALTCHA o hCaptcha.

SOLUZIONE
COCCOLE
POSIZIONE DEI DATI
FLUSSI COPERTI
TIPO DI PLUGIN
REQUISITO DELLA VERSIONE
CAPTCHA.eu
No
Austria (UE)
Accesso, registrazione, reimpostazione della password
JAR ufficiale
Keycloak 22.0.3+
Captcha amichevole
No
Endpoint dedicato solo all'UE dal piano Advanced. I livelli inferiori possono utilizzare l'infrastruttura globale.
Accesso, registrazione, reimpostazione della password
Plugin ufficiale
Keycloak 26.1.0+ e Java 17+ richiesti
hCaptcha
Con sede negli Stati Uniti
Solo registrazione
Comunità JAR
Manutenzione limitata
ALTCHA
No
La vostra infrastruttura
Solo registrazione
Comunità JAR
È necessario un backend self-hosted
reCAPTCHA v2
Sì (_grecaptcha)
Con sede negli Stati Uniti
Registrazione (solo incorporata)
Incorporato
Login e Reset richiedono estensioni personalizzate
Questo confronto è stato redatto dal team di CAPTCHA.eu e include il nostro prodotto. Il nostro obiettivo è quello di caratterizzare tutte le soluzioni in modo equo, basandoci sull'attuale documentazione pubblica. Se la configurazione cambia la risposta, lo diciamo esplicitamente. Controllare la documentazione attuale per conoscere la posizione più recente.

I tre flussi da proteggere

Keycloak organizza l'autenticazione come flussi configurabili, ovvero sequenze indipendenti che si modificano separatamente nella console amministrativa. Capire cosa fa ogni flusso aiuta a decidere quali proteggere per primi e perché.

IL flusso del browser (login) è la pagina di login standard che gli utenti vedono quando accedono a un'applicazione protetta da Keycloak. È la pagina con il maggior volume di traffico ed è l'obiettivo principale degli attacchi di credential stuffing e brute-force: tentativi automatizzati di accedere agli account utilizzando credenziali rubate o indovinate su larga scala.

IL flusso di registrazione copre la creazione di account. Senza la protezione CAPTCHA, i bot creano account falsi in massa, il che riduce la qualità del servizio, altera le analisi degli utenti e consente di abusare dei periodi di prova, dei programmi di riferimento o dei livelli gratuiti.

IL azzeramento del flusso di credenziali gestisce il recupero delle password. Gli attaccanti lo prendono di mira per attivare le e-mail di recupero su scala, sovraccaricare l'infrastruttura di posta, enumerare i nomi utente presenti nel sistema o sondare le opportunità di acquisizione degli account. È il meno discusso dei tre e spesso l'ultimo che i team pensano di proteggere. Lasciarla aperta mentre si proteggono le altre due crea una lacuna.

Una limitazione importante da conoscere in anticipo: Il reCAPTCHA integrato di Keycloak protegge solo il flusso di registrazione in modo nativo. Per proteggere il login e la reimpostazione della password con reCAPTCHA, sono necessarie estensioni personalizzate. CAPTCHA.eu copre tutti e tre i flussi con lo stesso JAR e segue lo stesso schema di configurazione per ciascuno di essi, motivo per cui i team trovano la migrazione semplice.

Quale versione di Keycloak stai utilizzando?

Prima di installare qualsiasi cosa, controllate la versione di Keycloak. Essa influisce sulle alternative disponibili.

Se si utilizza Keycloak 26.1.0 o successivo con Java 17 o successivo, sono disponibili sia CAPTCHA.eu che Friendly Captcha. Entrambi offrono plugin gestiti ufficialmente che coprono tutti e tre i flussi. CAPTCHA.eu supporta anche la versione 22.0.3 o successiva, nel caso in cui si utilizzi una versione precedente.

Se si utilizza una versione precedente di Keycloak (Keycloak 24.x, 25.x o qualsiasi cosa inferiore alla 26.1.0), il plugin Keycloak di Friendly Captcha non è compatibile. Il loro plugin richiede esplicitamente Keycloak 26.1.0+ e Java 17+. CAPTCHA.eu supporta una gamma di versioni più ampia.

Se si utilizza Red Hat Build of Keycloak (RHBK) o il vecchio prodotto Red Hat SSO, la mappatura delle versioni differisce da quella di Keycloak upstream. RHBK 24 corrisponde all'incirca a Keycloak 24. Verificare la compatibilità documentata del plugin prima di passare alla produzione.

Come controllare la versione di Keycloak

Accedere alla console amministrativa di Keycloak. Il numero di versione appare nell'angolo in basso a sinistra dell'interfaccia utente. In alternativa, controllate i registri di avvio del server o eseguite bin/kc.sh --versione dalla directory di installazione di Keycloak.

Installazione: aggiunta del plugin CAPTCHA.eu a Keycloak

  • Duplicare il flusso del browser

    Nella console amministrativa di Keycloak, andare in Autenticazione e selezionare browser . Fare clic su Azione > Duplica per creare una copia di lavoro. In questo modo si protegge il flusso predefinito e si può tornare indietro se necessario.

  • Rimuovere il modulo predefinito Nome utente-Password

    Cancellare il Modulo Nome utente Password dal flusso duplicato. CAPTCHA.eu sostituisce questo passaggio con il proprio modulo combinato che include la verifica CAPTCHA.

  • Aggiungere il modulo di accesso CAPTCHA.eu

    Fare clic su Aggiungi nuovo passo nel gruppo dei moduli del browser. Cercare e selezionare captcha.eu: Username Password Form. Fare clic sull'icona delle impostazioni, incollare la chiave pubblica e la chiave REST e salvare.

  • Legare il flusso

    Fare clic su Azione > Vincola flusso e selezionare il flusso Browser. In questo modo si attiva il flusso modificato per tutti i login in questo regno.

  • Aggiungere lo snippet del frontend a login.ftl

    Aggiungete il seguente snippet al file login.ftl del vostro tema Keycloak, subito dopo il tag di chiusura :

Se si preferisce non modificare manualmente il tema, si può utilizzare il tema precostituito incluso nella fonte dell'estensione CAPTCHA.eu, all'indirizzo /theme/captcha.

Configurare il flusso di registrazione

  • Duplicare il flusso di registrazione

    Andare in Autenticazione > registrazione e fare clic su Azione > Duplica

  • Sostituire l'esecuzione del CAPTCHA esistente

    Eliminare l'esecuzione di l'esecuzione di reCAPTCHA, se presente. Quindi fare clic su Aggiungi nuovo passo e selezionare captcha.eu: Registrazione. Impostare il requisito su Required, configurare la chiave pubblica e la chiave REST nelle impostazioni e salvare.

  • Legare il flusso e aggiungere lo snippet del frontend

    Effettuare il binding tramite Azione > Flusso di binding > Flusso di registrazione. Aggiungere quindi questo frammento a register.ftl dopo la chiusura del tag :

Proteggere il login, la registrazione e la reimpostazione della password di Keycloak

Plugin ospitato in Austria, senza cookie, mantenuto ufficialmente, che copre tutti e tre i flussi di autenticazione. 100 verifiche gratuite per iniziare.

Iniziare la prova gratuita
Contatta il reparto vendite

Note sulla distribuzione: Docker, Kubernetes e Red Hat SSO

Il modo in cui si installa il JAR dipende dal modo in cui si esegue Keycloak. I passaggi di configurazione della console amministrativa sono identici in tutti i casi. Solo il posizionamento dei file è diverso.

Installazione standard (bare-metal o VM): Copiare keycloak-captcha.jar direttamente nel file fornitori/ della directory di installazione di Keycloak e riavviare. Keycloak rileva automaticamente il nuovo provider all'avvio.

Docker: Aggiungere il JAR in fase di compilazione, utilizzando un'istruzione COPY nel file Docker, oppure montarlo in fase di esecuzione tramite un volume. La cartella dei provider all'interno del contenitore si trova in genere in /opt/keycloak/providers/. Un approccio minimale al file Docker è il seguente:

DA quay.io/keycloak/keycloak:latest
COPIA keycloak-captcha.jar /opt/keycloak/providers/
ESEGUIRE /opt/keycloak/bin/kc.sh build

Kubernetes: Montate il JAR usando un initContainer che lo copia in un volume condiviso, oppure usate una ConfigMap se il vostro cluster supporta i dati binari. L'approccio di produzione più affidabile consiste nel creare un'immagine personalizzata di Keycloak con il JAR incorporato, quindi fare riferimento ad essa nel manifest di distribuzione. In questo modo si evita la complessità del montaggio del volume e si mantiene la riproducibilità della distribuzione.

Red Hat Build of Keycloak (RHBK) e Red Hat SSO: RHBK segue lo stesso approccio di directory provider di Keycloak, ma i numeri di versione differiscono. RHBK 24 corrisponde all'incirca alla versione 24 di Keycloak. Se si utilizza Red Hat SSO 7.x, il prodotto più vecchio basato su una versione diversa di Keycloak, verificare attentamente la compatibilità del plugin prima di distribuirlo in produzione. La pagina del plugin CAPTCHA.eu documenta l'attuale compatibilità; in caso di dubbio, eseguire prima il test su un realm di staging.

Testate su un reame di staging prima di passare alla produzione

Keycloak consente di creare più reami nella stessa installazione. Prima di lanciare CAPTCHA.eu sul vostro reame di produzione, configuratelo su un reame di prova dedicato ed eseguite login, registrazioni e reset di password end-to-end. Questa operazione richiede circa quindici minuti e consente di individuare eventuali problemi di configurazione del tema o del flusso prima che si ripercuotano sugli utenti reali.

Lista di controllo GDPR dopo il passaggio al digitale

La migrazione tecnica riguarda il livello CAPTCHA. Questi passaggi completano il quadro della conformità.

Confermare con i team di sicurezza e DPO. Per le implementazioni di aziende e settori regolamentati, confermate le modifiche al flusso di autenticazione con il vostro architetto della sicurezza e il DPO prima del go-live. Si tratta di una prassi standard per qualsiasi modifica del sistema di autenticazione.

Aggiornare l'informativa sulla privacy. Rimuovere la voce reCAPTCHA e sostituirla con una breve voce CAPTCHA.eu che indichi l'Austria come luogo di elaborazione e la protezione dei bot sui flussi di autenticazione come scopo.

Rivedere la configurazione della gestione del consenso. Se l'implementazione di Keycloak includeva un'informativa sui cookie per reCAPTCHA, rimuovere o modificare tale voce. Per CAPTCHA.eu, non è necessario alcun meccanismo di consenso basato sui cookie per il livello CAPTCHA stesso. I cookie di sessione e i token OIDC sono separati e non sono interessati.

Aggiornare i registri di elaborazione. Sostituite Google come responsabile del trattamento dei CAPTCHA nei vostri registri ex articolo 30. A tale scopo, è disponibile un DPA standard su CAPTCHA.eu.

Domande frequenti

CAPTCHA.eu funziona con la mia versione di Keycloak?

Il plugin CAPTCHA.eu funziona tramite l'SPI di autenticazione di Keycloak e supporta un'ampia gamma di versioni. Controllare la pagina del plugin per la matrice di compatibilità attuale. Come riferimento: Il plugin Keycloak di Friendly Captcha richiede Keycloak 26.1.0 o successivo e Java 17 o successivo. Se si utilizza una versione precedente, CAPTCHA.eu mantiene le opzioni disponibili.

Ho ancora bisogno di un banner di consenso per i cookie dopo il passaggio?

Non per il livello CAPTCHA stesso. CAPTCHA.eu non imposta alcun cookie per la funzione CAPTCHA, eliminando così l'attivazione del consenso specifico che reCAPTCHA introduce nelle pagine di autenticazione. I cookie di sessione e i token OIDC sono separati da questo e non sono interessati dal passaggio.

Posso proteggere solo alcuni flussi e lasciarne altri invariati?

Sì. Ogni flusso di Keycloak è configurato in modo indipendente, in modo da poter proteggere solo la registrazione, o il login e la registrazione, o tutti e tre. La maggior parte dei team inizia con la registrazione (il maggior volume di abusi automatici) e poi aggiunge il login e la reimpostazione della password. Lasciare la reimpostazione della password non protetta mentre si proteggono gli altri due flussi crea una lacuna, quindi è bene pianificare la copertura di tutti e tre i flussi.

Cosa succede se ho un tema Keycloak personalizzato?

Aggiungere gli snippet del frontend ai modelli del tema esistenti: login.ftl, register.ftl e login-reset-password.ftl. Ogni snippet va inserito dopo il tag di chiusura del rispettivo template. Se si preferisce partire da zero, l'estensione CAPTCHA.eu include un tema precostituito in /theme/captcha che si può usare come base.

In che modo CAPTCHA.eu è diverso da Friendly Captcha per Keycloak?

Entrambi forniscono plugin ufficiali di Keycloak con verifica proof-of-work e senza cookie. Le differenze pratiche: CAPTCHA.eu supporta una gamma più ampia di versioni di Keycloak: Friendly Captcha richiede Keycloak 26.1.0+ e Java 17+, il che lo esclude per i team su installazioni più vecchie. CAPTCHA.eu include anche l'elaborazione in hosting in Austria su ogni piano commerciale per impostazione predefinita, mentre l'endpoint dedicato solo all'UE di Friendly Captcha richiede il piano Advanced a partire da 200 euro al mese.

Devo anche abilitare la protezione integrata di Keycloak contro la forza bruta?

Sì, e i due meccanismi si completano a vicenda. CAPTCHA.eu impedisce ai bot automatizzati di arrivare al punto di inviare le credenziali. Il rilevamento di forza bruta integrato in Keycloak gestisce i casi che sfuggono, bloccando temporaneamente gli account dopo ripetuti fallimenti. L'utilizzo di entrambi vi offre una difesa in profondità. Consultate la nostra guida su prevenire gli attacchi di forza bruta per la strategia più ampia.

CAPTCHA.eu è adatto alle implementazioni SSO aziendali?

Sì. CAPTCHA.eu è utilizzato da organizzazioni come ÖBB, OeNB e DGUV: ambienti in cui la sicurezza dell'autenticazione e la documentazione relativa agli appalti sono sottoposti a una revisione formale. L'elaborazione ospitata in Austria e la certificazione WCAG 2.2 AA di TÜV Austria forniscono la prova documentata che le revisioni della sicurezza delle aziende e del settore pubblico solitamente richiedono.

Lettura correlata

Fonti primarie
Pagina del plugin CAPTCHA.eu KeycloakGuida ufficiale all'installazione e snippet FTL per tutti e tre i flussi.
Pagina di integrazione di Captcha Keycloak amichevoleConferma i requisiti di Keycloak 26.1.0+ e Java 17+.
keycloak-altcha (GitHub): estensione ALTCHA della comunità per Keycloak, solo flusso di registrazione
Keycloak Problema GitHub #41057: discussione della comunità sul supporto nativo di CAPTCHA non Google in Keycloak
Google reCAPTCHA FAQ (aprile 2026)conferma la _grecaptcha Il cookie rimane anche dopo il cambio di modello del processore
Certificazione CAPTCHA.eu WCAG 2.2 AA: certificato in modo indipendente dal TÜV Austria
Trasparenza: Questo articolo è stato scritto dal team di CAPTCHA.eu e include il nostro prodotto. Le opzioni della concorrenza sono caratterizzate in base alla documentazione pubblica attuale. Se trovate un'imprecisione, Contattaci e lo correggeremo.

Provate l'alternativa europea costruita per le implementazioni basate sulla privacy

Se il vostro team ha bisogno di una protezione bot a basso attrito con hosting austriaco, nessun cookie nel livello CAPTCHA, elaborazione basata sull'UE, prezzi trasparenti e accessibilità certificata TÜV, provate CAPTCHA.eu su un flusso reale prima di decidere. Iniziate con il vostro modulo di login, iscrizione o contatto. 100 richieste gratuite, nessuna carta di credito richiesta.

Iniziare la prova gratuita
Contatta il reparto vendite

messaggi recenti

it_ITItalian
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian