Inloggen
Gratis proefabonnement

Keycloak reCAPTCHA alternatief voor Europese teams (2026)

Keycloak reCAPTCHA alternatieve illustratie voor Europese teams, met een “I'm not a robot” checkbox vervangen door een .eu-gebruikersverificatiesysteem met een veiligheidsschild, EU-vlag en Europese landenpictogrammen.
captcha.eu

Keycloak wordt geleverd met reCAPTCHA ingebouwd in de registratiestroom. Voor Europese organisaties zorgt die standaard voor cookies, gegevensoverdracht naar de VS en een last voor de privacydocumentatie op de drie stromen die er het meest toe doen: aanmelding, registratie en wachtwoordreset. Deze handleiding legt uit hoe u reCAPTCHA in Keycloak kunt vervangen door een cookieloos, EU-hosted alternatief en doorloopt de exacte configuratie voor elke authenticatiestroom.

Geschatte leestijd: 12 minuten

Probeer CAPTCHA.eu gratis - zonder creditcard
Alle integraties weergeven

In een oogopslag

Het kernprobleem

De ingebouwde reCAPTCHA van Keycloak stelt de _grecaptcha-cookie in, leidt de verificatie via de Google-infrastructuur en maakt ePrivacy-toestemmingsvragen aan voor je meest gevoelige verificatiestromen.

Waarom auth stromen anders zijn

Inloggen, registreren en het wachtwoord resetten zijn pagina's die gebruikers moeten voltooien voordat ze toegang krijgen tot wat dan ook. Afhankelijkheden van derden wegen hier zwaarder door op het gebied van compliance en beveiliging dan bij een standaard contactformulier.

De praktische oplossing

Een proof-of-work CAPTCHA plugin geïnstalleerd als een JAR: geen cookies, geen US transfers, geen cookie-consent laag voor de CAPTCHA zelf, met een veel eenvoudiger third-party review profiel, en configureerbaar per Keycloak flow in minder dan een uur.

Wat deze gids behandelt

Voor wie is deze gids

Dit artikel is geschreven voor IAM-beheerders, beveiligingsteams, platformtechnici en organisaties in de publieke sector of gereguleerde organisaties die Keycloak in productie hebben en een praktisch vervangingspad nodig hebben voor reCAPTCHA bij het aanmelden, registreren en resetten van wachtwoorden.

Waarom reCAPTCHA specifieke problemen veroorzaakt in Keycloak

De meeste discussies over reCAPTCHA gaan over contactformulieren. Keycloak is een heel andere situatie. Het is een identiteits- en toegangsbeheersysteem: de laag die controleert wie kan inloggen, een account kan aanmaken of een wachtwoord kan herstellen in uw applicaties. Dat betekent dat reCAPTCHA hier wordt gebruikt voor authenticatiestromen, niet voor marketingpagina's.

Voor Europese organisaties die Keycloak in productie hebben, levert dit drie problemen op die ernstiger zijn dan op een typisch websiteformulier.

Keycloak implementaties in het bedrijfsleven en de publieke sector krijgen de strengste beoordelingen. DPO's, inkoopcommissies en beveiligingsarchitecten stellen moeilijkere vragen over scripts van derden op verificatiepagina's dan op enig ander deel van een website. Een CAPTCHA die geen cookies, geen Amerikaanse gegevensroutering en een veel eenvoudiger controleprofiel voor derden introduceert, is structureel eenvoudiger te verdedigen en sneller goed te keuren.

De _grecaptcha-cookie wordt uitgevoerd op verificatiepagina's. Google heeft bevestigd dat deze cookie blijft bestaan na de wijziging van het processormodel in april 2026. Op een inlogpagina die werknemers of klanten moeten invullen voordat ze toegang krijgen tot een service, kunnen ze zich niet zinvol afmelden voor een cookie die juist de stroom beschermt die ze moeten gebruiken. Dit is moeilijker op te lossen dan dezelfde cookie op een contactformulier.

Verificatieroutes via de infrastructuur van Google. Voor organisaties in gereguleerde sectoren, zoals de gezondheidszorg, de financiële sector of de publieke sector, vereist de verwerking van persoonsgegevens via Amerikaanse infrastructuur actieve overdrachtsdocumentatie onder GDPR. Op een authenticatiesysteem dat referenties verwerkt, voegt dit governance-overhead toe die beveiligings- en compliance-teams liever helemaal vermijden.

Authenticatiepagina's hebben een hogere beveiligingsstandaard

In tegenstelling tot een contactformulier verwerken authenticatiestromen geloofsbrieven en sessietokens. Als een CAPTCHA-service van een derde partij op dezelfde pagina draait, deelt deze de browsercontext met die flows. Voor Keycloak implementaties in de gereguleerde sector gaat dit verder dan de standaard cookie-toestemmingsvraag en komt het op het terrein van de beoordeling van de beveiligingsarchitectuur.

Keycloak CAPTCHA alternatieven vergeleken

Verschillende CAPTCHA aanbieders bieden Keycloak plugins aan, maar de markt is hier veel beperkter dan voor WordPress of TYPO3. De meeste gemeenschapsextensies gaan kapot bij grote versie-upgrades van Keycloak en krijgen beperkt onderhoud. Het Keycloak CAPTCHA ecosysteem is veel kleiner dan het WordPress of TYPO3 ecosysteem. In de praktijk kijken de meeste teams die een moderne Keycloak CAPTCHA-laag evalueren naar CAPTCHA.eu, Friendly Captcha, het oude reCAPTCHA en een klein aantal door de gemeenschap onderhouden opties zoals ALTCHA- of hCaptcha-integraties.

OPLOSSING
COOKIES
GEGEVENS LOCATIE
GEDEKTE STROMEN
PLUGIN TYPE
VERSIEVEREISTE
CAPTCHA.eu
Geen
Oostenrijk (EU)
Inloggen, registreren, wachtwoord opnieuw instellen
Officiële JAR
Sleutelklok 22.0.3+
Vriendelijke Captcha
Geen
Dedicated EU-only eindpunt van Advanced plan. Lagere niveaus kunnen wereldwijde infrastructuur gebruiken.
Inloggen, registreren, wachtwoord opnieuw instellen
Officiële plugin
Keycloak 26.1.0+ en Java 17+ vereist
hCaptcha
Ja
in de VS
Alleen registratie
Gemeenschap JAR
Beperkt onderhoud
ALTCHA
Geen
Uw eigen infrastructuur
Alleen registratie
Gemeenschap JAR
Zelf gehoste backend vereist
reCAPTCHA v2
Ja (_grecaptcha)
in de VS
Registratie (alleen ingebouwd)
Ingebouwd
Inloggen en opnieuw instellen vereisen aangepaste extensies
Deze vergelijking is geschreven door het CAPTCHA.eu team en omvat ons eigen product. We proberen alle oplossingen eerlijk te karakteriseren op basis van de huidige openbare documentatie. Waar configuratie het antwoord verandert, zeggen we dat expliciet. Controleer de huidige documentatie voor de laatste stand van zaken.

De drie stromen om te beschermen

Keycloak organiseert authenticatie als configureerbare flows, dit zijn onafhankelijke reeksen die je afzonderlijk aanpast in de beheerconsole. Door te begrijpen wat elke flow doet, kunt u beslissen welke flows u het eerst wilt beschermen en waarom.

De browser (inloggen) stroom is de standaard inlogpagina die gebruikers te zien krijgen wanneer ze toegang krijgen tot een applicatie die beveiligd is met Keycloak. Deze pagina heeft het grootste verkeersvolume en is het primaire doelwit voor credential stuffing en brute-force aanvallen: geautomatiseerde pogingen om toegang te krijgen tot accounts met behulp van gestolen of geraden referenties op grote schaal.

De registratiestroom heeft betrekking op het aanmaken van accounts. Zonder CAPTCHA-bescherming kunnen bots massaal valse accounts aanmaken, wat de kwaliteit van de service vermindert, gebruikersanalyses verstoort en misbruik van proefperioden, verwijzingsprogramma's of gratis niveaus mogelijk maakt.

De credentials stroom resetten handelt wachtwoordherstel af. Aanvallers richten zich hierop om op grote schaal herstelmails te triggeren, de mailinfrastructuur te overbelasten, op te sommen welke gebruikersnamen er in het systeem bestaan of te peilen naar mogelijkheden om accounts over te nemen. Het is de minst besproken van de drie en vaak de laatste die teams denken te beschermen. Door het open te laten terwijl de andere twee worden beschermd, ontstaat er een gat.

Eén belangrijke beperking om vooraf te weten: Keycloak's ingebouwde reCAPTCHA beschermt alleen de registratiestroom. Om aanmeldingen en het resetten van wachtwoorden te beschermen met reCAPTCHA, heb je aangepaste extensies nodig. CAPTCHA.eu dekt alle drie met dezelfde JAR en volgt hetzelfde configuratiepatroon voor elk, wat een van de redenen is dat teams de migratie eenvoudig vinden.

Welke versie van Keycloak gebruik je?

Controleer je Keycloak-versie voordat je iets installeert. Dit heeft invloed op de alternatieven die beschikbaar zijn.

Als je Keycloak 26.1.0 of hoger draait met Java 17 of hoger, zijn zowel CAPTCHA.eu als Friendly Captcha beschikbaar. Beide bieden officieel onderhouden plugins voor alle drie de stromen. CAPTCHA.eu ondersteunt ook 22.0.3 of later voor het geval je op een eerdere versie draait.

Als je een oudere versie van Keycloak gebruikt (Keycloak 24.x, 25.x, of iets lager dan 26.1.0), dan is Friendly Captcha's Keycloak plugin niet compatibel. Hun plugin vereist expliciet Keycloak 26.1.0+ en Java 17+. CAPTCHA.eu ondersteunt een breder versiebereik.

Als je Red Hat Build of Keycloak (RHBK) of het oudere Red Hat SSO product gebruikt, dan verschilt de versie mapping van upstream Keycloak. RHBK 24 komt ongeveer overeen met upstream Keycloak 24. Controleer de gedocumenteerde compatibiliteit van de plugin voordat u deze uitrolt naar productie.

Hoe controleer je de versie van Keycloak

Log in op de Keycloak beheerconsole. Het versienummer verschijnt in de linkerbenedenhoek van de beheerinterface. U kunt ook de opstartlogboeken van de server controleren of het volgende uitvoeren bin/kc.sh --versie uit de installatiemap van Keycloak.

Installatie: de CAPTCHA.eu plugin toevoegen aan Keycloak

  • De browserstroom dupliceren

    Ga in de Keycloak beheerconsole naar Verificatie en selecteer browser . Klik op Actie > Dupliceren om een werkkopie te maken. Dit beschermt de standaardstroom zodat u deze kunt terugdraaien als dat nodig is.

  • Het standaard gebruikersnaam-wachtwoordformulier verwijderen

    Verwijder het Gebruikersnaam Wachtwoord Formulier uit de gedupliceerde stroom. CAPTCHA.eu vervangt deze stap door zijn eigen gecombineerde formulier met CAPTCHA-verificatie.

  • Het aanmeldingsformulier CAPTCHA.eu toevoegen

    Klik op Nieuwe stap toevoegen in de groep Browserformulieren. Zoek en selecteer captcha.eu: Gebruikersnaam Wachtwoord Formulier. Klik op het instellingenpictogram, plak je publieke sleutel en REST-sleutel en sla op.

  • De stroom binden

    Klik op Actie > Flow binden en selecteer Browser flow. Hiermee wordt je aangepaste flow geactiveerd voor alle aanmeldingen in dit domein.

  • Voeg het frontend fragment toe aan login.ftl

    Voeg het volgende fragment toe aan het bestand login.ftl van je Keycloak-thema, direct na de afsluitende -tag:

Als u uw thema liever niet handmatig bewerkt, gebruik dan het kant-en-klare thema dat is opgenomen in de bron van de CAPTCHA.eu-extensie op /theme/captcha.

De registratiestroom configureren

  • De registratiestroom dupliceren

    Ga naar Authenticatie > registratie en klik op Actie > Dupliceren

  • De bestaande CAPTCHA-uitvoering vervangen

    Verwijder de reCAPTCHA-uitvoering als deze aanwezig is. Klik dan op Nieuwe stap toevoegen en selecteer captcha.eu: Registratie. Stel de vereiste in op Required (Vereist), configureer je Public Key (Openbare sleutel) en REST Key (REST-sleutel) in de instellingen en sla op.

  • De flow binden en het frontend knipsel toevoegen

    Binden via Actie > Bind flow > Registratie flow. Voeg vervolgens dit fragment toe aan register.ftl na de afsluitende tag :

Keycloak login, registratie en wachtwoord reset beveiligen

Oostenrijk-gehost, geen cookies, officieel onderhouden plugin die alle drie verificatiestromen dekt. 100 gratis verificaties om mee te beginnen.

Gratis proefabonnement starten
Contact verkoop

Implementatie-opmerkingen: Docker, Kubernetes en Red Hat SSO

Hoe je de JAR installeert hangt af van hoe je Keycloak uitvoert. De configuratiestappen voor de beheerconsole zijn in alle gevallen identiek. Alleen de plaatsing van het bestand verschilt.

Standaardinstallatie (bare-metal of VM): Kopieer keycloak-captcha.jar direct in de aanbieders/ map van je Keycloak-installatie en start opnieuw op. Keycloak pikt de nieuwe provider automatisch op bij het opstarten.

Docker: Voeg de JAR toe tijdens het bouwen met een COPY instructie in je Dockerfile, of mount het tijdens runtime via een volume. De providers directory in de container is meestal /opt/keycloak/providers/. Een minimale Dockerfile aanpak ziet er als volgt uit:

FROM quay.io/keycloak/keycloak:latest
KOPIE keycloak-captcha.jar /opt/keycloak/providers/
RUN /opt/keycloak/bin/kc.sh build

Kubernetes: Mount de JAR met behulp van een initContainer die het kopieert naar een gedeeld volume, of gebruik een ConfigMap als je cluster binaire gegevens ondersteunt. De meest betrouwbare productiebenadering is het bouwen van een aangepaste Keycloak image met de JAR ingebakken en er dan naar te verwijzen in je Deployment manifest. Dit vermijdt de complexiteit van het mounten van volumes en houdt je implementatie reproduceerbaar.

Red Hat Build of Keycloak (RHBK) en Red Hat SSO: RHBK volgt dezelfde provider directory aanpak als upstream Keycloak, maar de versienummers verschillen. RHBK 24 komt ongeveer overeen met upstream Keycloak 24. Als u Red Hat SSO 7.x gebruikt, het oudere product dat gebaseerd is op een andere Keycloak versie, controleer dan zorgvuldig de plugin compatibiliteit voordat u het product in productie neemt. De CAPTCHA.eu plugin pagina documenteert de huidige compatibiliteit; test bij twijfel eerst op een staging realm.

Test op een staging realm voordat je naar productie gaat

Met Keycloak kunt u meerdere rijken aanmaken in dezelfde installatie. Voordat u CAPTCHA.eu uitrolt op uw productieruimte, configureert u deze op een speciale testruimte en voert u het inloggen, registreren en resetten van wachtwoorden end-to-end uit. Dit neemt ongeveer vijftien minuten in beslag en vangt eventuele problemen met thema- of flowconfiguratie op voordat ze echte gebruikers beïnvloeden.

GDPR-checklist na overstap

De technische migratie omvat de CAPTCHA-laag. Deze stappen maken het complianceplaatje compleet.

Bevestig dit met je beveiligings- en DPO-teams. Bevestig bij implementaties in ondernemingen en gereguleerde sectoren de wijzigingen in de authenticatiestroom met je beveiligingsarchitect en DPO voordat je aan de slag gaat. Dit is standaardprocedure voor elke wijziging aan het authenticatiesysteem.

Werk je privacyverklaring bij. Verwijder de reCAPTCHA-invoer en vervang deze door een korte CAPTCHA.eu-invoer met Oostenrijk als verwerkingslocatie en botbeveiliging op verificatiestromen als doel.

Controleer uw instellingen voor toestemmingsbeheer. Als uw Keycloak-implementatie een cookievermelding voor reCAPTCHA bevatte, verwijder of wijzig die vermelding dan. Voor CAPTCHA.eu is geen op cookies gebaseerd toestemmingsmechanisme nodig voor de CAPTCHA-laag zelf. Sessiecookies en OIDC-tokens zijn apart en worden niet beïnvloed.

Werk je verwerkingsgegevens bij. Vervang Google als de CAPTCHA-gerelateerde verwerker in uw Artikel 30-gegevens. Hiervoor is een standaard DPA beschikbaar op CAPTCHA.eu.

Veelgestelde vragen

Werkt CAPTCHA.eu met mijn Keycloak versie?

De CAPTCHA.eu plugin werkt via Keycloak's Authentication SPI en ondersteunt een breed versiebereik. Bekijk de plugin pagina voor de huidige compatibiliteitsmatrix. Ter referentie: Friendly Captcha's Keycloak plugin vereist Keycloak 26.1.0 of later en Java 17 of later. Als je een oudere versie gebruikt, houdt CAPTCHA.eu opties voor je beschikbaar.

Heb ik nog steeds een toestemmingsbanner voor cookies nodig nadat ik ben overgestapt?

Niet voor de CAPTCHA-laag zelf. CAPTCHA.eu stelt geen cookies in voor de CAPTCHA-functie, waardoor de specifieke toestemmingstrigger die reCAPTCHA introduceert op verificatiepagina's wordt verwijderd. Sessiecookies en OIDC-tokens staan hier los van en worden niet beïnvloed door de overstap.

Kan ik alleen sommige stromen beschermen en andere ongewijzigd laten?

Ja. Elke Keycloak stroom wordt onafhankelijk geconfigureerd, dus je kunt alleen registratie, of login en registratie, of alle drie beschermen. De meeste teams beginnen met registratie (het grootste volume van geautomatiseerd misbruik) en voegen daarna login en wachtwoord reset toe. Als je het resetten van wachtwoorden onbeveiligd laat terwijl je de andere twee beveiligt, ontstaat er een gat, dus plan om alle drie de stromen te beveiligen.

Wat gebeurt er als ik een aangepast Keycloak-thema heb?

Voeg de frontend-snippets toe aan uw bestaande themasjablonen: login.ftl, register.ftl en login-reset-password.ftl. Elk fragment komt na de afsluitende tag van het betreffende sjabloon. Als u de voorkeur geeft aan een nieuwe start, bevat de CAPTCHA.eu extensie een kant-en-klaar thema op /theme/captcha dat u als basis kunt gebruiken.

Waarin verschilt CAPTCHA.eu van Friendly Captcha voor Keycloak?

Beide bieden officiële Keycloak plugins met proof-of-work verificatie en zonder cookies. De praktische verschillen: CAPTCHA.eu ondersteunt een breder Keycloak versiebereik: Friendly Captcha vereist Keycloak 26.1.0+ en Java 17+, wat het uitsluit voor teams op oudere installaties. CAPTCHA.eu heeft ook standaard Oostenrijk-hosted verwerking op elk commercieel plan, terwijl Friendly Captcha's speciale EU-only eindpunt het Advanced plan van €200/maand of meer vereist.

Moet ik ook de ingebouwde brute krachtbeveiliging van Keycloak inschakelen?

Ja, en de twee mechanismen vullen elkaar goed aan. CAPTCHA.eu voorkomt dat geautomatiseerde bots überhaupt gegevens kunnen invoeren. De ingebouwde brute kracht detectie van Keycloak handelt vervolgens de gevallen af die er doorheen glippen door accounts tijdelijk te vergrendelen na herhaalde mislukkingen. Door beide uit te voeren krijg je een verdediging in de diepte. Zie onze gids over brute kracht aanvallen voorkomen voor de bredere strategie.

Is CAPTCHA.eu geschikt voor SSO-implementaties in bedrijven?

Ja. CAPTCHA.eu wordt gebruikt door organisaties als ÖBB, OeNB en DGUV: omgevingen waar authenticatiebeveiliging en aanbestedingsdocumentatie beide formeel worden beoordeeld. De in Oostenrijk gehoste verwerking en TÜV Austria WCAG 2.2 AA-certificering leveren het gedocumenteerde bewijs dat ondernemingen en overheidsinstellingen gewoonlijk nodig hebben voor hun veiligheidsbeoordelingen.

Gerelateerde lezen

Primaire bronnen
CAPTCHA.eu plugin pagina: officiële installatiegids en FTL-fragmenten voor alle drie de stromen
Vriendelijke Captcha Keycloak integratiepaginabevestigt de vereisten voor Keycloak 26.1.0+ en Java 17+
sleutelcloak-altcha (GitHub): ALTCHA gemeenschapsextensie voor Keycloak, alleen registratiestroom
Sleutelvrij GitHub probleem #41057: gemeenschapsdiscussie over native niet-Google CAPTCHA-ondersteuning in Keycloak
Google reCAPTCHA FAQ (april 2026): bevestigt de _grecaptcha cookie blijft staan na de wijziging van het processormodel
CAPTCHA.eu WCAG 2.2 AA certificering: onafhankelijk gecertificeerd door TÜV Oostenrijk
Transparantie: Dit artikel is geschreven door het CAPTCHA.eu team en bevat ons eigen product. Opties van concurrenten worden gekenmerkt op basis van de huidige openbare documentatie. Als u een onnauwkeurigheid vindt, contact met ons opnemen en we zullen het corrigeren.

Probeer het Europese alternatief, gebouwd voor privacy-eerst implementaties

Als uw team behoefte heeft aan een botbeveiliging met lage wrijving en Oostenrijkse hosting, geen cookies op de CAPTCHA-laag, verwerking in de EU, transparante prijzen en TÜV-gecertificeerde toegankelijkheid, test CAPTCHA.eu dan eerst op een echte flow voordat u beslist. Begin met uw aanmeld-, aanmeld- of contactformulier. 100 gratis aanvragen, geen creditcard nodig.

Gratis proefabonnement starten
Contact verkoop

Recente berichten

nl_NLDutch
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish it_ITItalian nl_NLDutch