嘿，我来拆解下这个问题——得分两种场景来看，毕竟你没说清楚是作为站点管理员想替换Cloudflare的验证，还是想让服务器自动帮访客过验证（比如爬虫需求）。先给你明明白白讲清楚：

一、如果你是站点所有者：完全可以用自有服务器接管验证流程 #

如果你是被Cloudflare保护的网站管理员，想把人机验证从Cloudflare的边缘迁移到自己的服务器上，步骤如下：

1. 先调整Cloudflare的安全规则，给自有验证让路
   登录Cloudflare控制台，找到你站点的「安全」→「WAF」页面：

   • 先找到那些触发Recaptcha的规则（比如默认的Managed Challenge规则），要么暂时禁用，要么修改触发条件——只对没通过你自有服务器验证的请求生效。
   • 或者去「安全」→「设置」里，把安全级别调低，同时开启「自定义页面」，把Cloudflare自带的验证页面替换成你自有服务器的验证入口。

2. 在自有服务器部署Google Recaptcha
   先去Google的Recaptcha控制台注册你的域名，拿到site key（给前端用）和secret key（服务器端验证用），选v2的复选框模式或者v3的隐形验证都可以：

   • 前端嵌入Recaptcha脚本和验证组件（以v2为例）：

     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <div class="g-recaptcha" data-sitekey="你的site-key"></div>
     

   • 用户完成验证后，前端会生成一个g-recaptcha-response token，把这个token和用户的请求一起发到你的服务器。

3. 服务器端校验Recaptcha token的有效性
   拿到token后，你得调用Google的验证API确认这个token是真的（防止伪造），这里给个Python示例：

   import requests
   
   def validate_recaptcha(token):
       secret = "你的secret-key"
       verify_url = "https://www.google.com/recaptcha/api/siteverify"
       resp = requests.post(verify_url, data={"secret": secret, "response": token})
       result = resp.json()
       # v3版本需要结合score判断，v2只看success即可
       return result.get("success", False) and (result.get("score", 1) > 0.5 if "score" in result else True)
   

   验证通过后，给用户设置一个带签名的可信Cookie（比如trusted_user=签名后的字符串），防止伪造。

4. 让Cloudflare信任你的验证结果
   回到Cloudflare的WAF，创建一条自定义规则：当请求包含你设置的可信Cookie时，直接放行，跳过所有Cloudflare的人机验证。规则条件可以写http.cookie contains "trusted_user=你的签名值"，动作为「允许」。

二、如果你想让服务器自动完成访客的Recaptcha（比如爬虫）：别折腾了 #

这种场景下我得直接劝退你：

• Google Recaptcha的核心就是识别人类行为，比如鼠标移动轨迹、浏览器指纹这些，纯服务器端的无头浏览器（比如Playwright/Puppeteer）或者HTTP请求工具（requests）几乎不可能通过验证，大概率会被判定为机器。
• 这么做还违反Google Recaptcha的服务条款和Cloudflare的使用协议，轻则IP被封禁，重则有法律风险。
• 就算用第三方打码平台，稳定性极差，成本也高，完全不划算。

内容的提问来源于stack exchange，提问作者Andra