--- title: Flarum --- # Flarum Extension officielle CaptchaLa pour Flarum. Ajoute la vérification CAPTCHA aux actions habituellement ciblées par les bots sur un forum — inscription, connexion, réinitialisation de mot de passe et publication — avec des interrupteurs par action dans le panneau d'administration. ## Ce qui est couvert Chaque action ci-dessous est un interrupteur individuel sous `Admin → Extensions → CaptchaLa`. - Inscription - Connexion - Réinitialisation de mot de passe - Réponses aux messages - Nouvelles discussions - Modifications de profil Les sessions authentifiées ouvertes via un fournisseur SSO / Auth Sync sont exemptées — voir [SSO / Auth Sync](#sso-auth-sync) ci-dessous. ## Installation ### 1. Exiger l'extension Depuis la racine de votre installation Flarum : ```bash composer require captchala/flarum ``` Alternativement, dans `Admin → Extension Manager`, collez `captchala/flarum` dans le champ **Install**. L'extension cible Flarum ≥ 1.8 et PHP ≥ 8.1. ### 2. Activer dans le panneau d'administration Ouvrez `Admin → Extensions`, trouvez **CaptchaLa** et cliquez sur **Enable**. ### 3. Configurer Dans le panneau de réglages de l'extension : 1. Collez vos **App Key** et **App Secret** depuis [`dash.captcha.la`](https://dash.captcha.la). 2. Activez les actions à protéger. 3. Enregistrez. ## Configuration Les réglages sont stockés dans la table standard des réglages Flarum sous le préfixe `captchala.*`. | Réglage | Type | Valeur par défaut | Description | | --- | --- | --- | --- | | App Key | string | — | Clé publique (`cl_pub_…`) issue du tableau de bord CaptchaLa. Obligatoire. | | App Secret | string | — | Secret serveur. Obligatoire. Utilisé uniquement côté serveur pour appeler `/v1/validate`. | | Protéger l'inscription | bool | `true` | Challenge à l'inscription. | | Protéger la connexion | bool | `false` | Challenge sur la modale de connexion. Désactivé par défaut car la plupart des forums protègent la connexion par limitation de débit. | | Protéger la réinitialisation de mot de passe | bool | `true` | Challenge lors de la demande d'un e-mail de réinitialisation de mot de passe. | | Protéger les réponses aux messages | bool | `false` | Challenge lors de la publication d'une réponse. Désactivé par défaut ; activez-le si le forum subit une pression de spam. | | Protéger les nouvelles discussions | bool | `false` | Challenge lors de l'ouverture d'une discussion. | | Mode de vérification | enum | `popup` | Une valeur parmi `popup`, `bind`, `embed`. Mappé sur l'option `product` du SDK Web. | | Thème | enum | `auto` | `light`, `dark` ou `auto`. | | Ignorer pour les utilisateurs de confiance | bool | `true` | Les utilisateurs des groupes marqués comme de confiance (par ex. modérateurs) contournent le challenge. | ## SSO / Auth Sync L'extension coopère avec les hooks standard de fournisseurs d'authentification de Flarum (`UserAuthenticated`, fournisseurs Auth Sync tiers, passerelles OAuth). - Si l'utilisateur arrive via une session SSO authentifiée, aucun challenge n'est affiché — l'extension considère la session comme déjà vérifiée. - Pour les configurations mixtes où certains utilisateurs se connectent via SSO et d'autres via le formulaire local, seul le chemin du formulaire local exécute le challenge. - L'interrupteur `skip_for_trusted_users` s'empile par-dessus : les groupes de confiance contournent le challenge même sur une connexion par formulaire local. ## FAQ **L'extension est-elle gratuite ?** Oui. Le package Composer est gratuit. L'offre gratuite CaptchaLa couvre 10 000 vérifications par mois. **Bloque-t-elle les inscriptions de spam ?** Elle bloque ou challenge la plupart des inscriptions automatisées dès le premier score de risque. Aucun CAPTCHA ne bloque 100 % — mais sur nos forums de test, le volume d'inscriptions de spam chute d'environ un ordre de grandeur après activation. **Puis-je l'exiger uniquement à l'inscription ?** Oui. Chaque action est un interrupteur séparé. Le profil par défaut active uniquement l'inscription et la réinitialisation de mot de passe. **Fonctionne-t-elle avec SSO / Auth Sync ?** Oui. Les sessions ouvertes par un fournisseur SSO / Auth Sync ignorent le challenge. Voir [SSO / Auth Sync](#sso-auth-sync). **Est-elle open source ?** Oui — le code de l'extension PHP est open source. Les appels de vérification sont effectués vers le service hébergé CaptchaLa. ## Sources - Dépôt de l'extension : [`github.com/Captcha-La/captchala-flarum`](https://github.com/Captcha-La/captchala-flarum) - Packagist : [`captchala/flarum`](https://packagist.org/packages/captchala/flarum) - À voir aussi : [SDK Web](/fr/web-sdk) · [SDK serveur PHP](/fr/sdk/server-php) · [Référence de l'API](/fr/api-reference)