Cloudflare Turnstile
Unsichtbarer Bot-Schutz auf allen öffentlichen Formularen — Reservierungen, Newsletter, OAuth-Consent. Keine Captchas mit Verkehrsschildern, datenschutzfreundlicher als reCAPTCHA.
Sobald ein Restaurant öffentliche Buchungen über das Widget oder den AI-Connector annimmt, ist es ein Bot-Target. Cloudflare Turnstile prüft im Hintergrund, ob der Aufrufer ein echter Browser eines echten Menschen ist — meistens ohne, dass der Gast davon etwas merkt. Onboard ruft Turnstile auf allen öffentlichen Endpoints auf, ohne die Konversion zu bremsen.
Cloudflares Alternative zu reCAPTCHA. Funktioniert in der Regel passiv, fragt nur in Verdachtsfällen einen Klick ab. Keine Bildauswahl, kein Tracking-Cookie über Google.
Wo Turnstile aktiv ist
- Öffentliche Reservierungen —
/api/reservations/publicprüft den Token vor jedem Insert. - Newsletter-Anmeldung —
/api/subscribe-newsletterprüft den Token vor dem Versand der Double-Opt-In-Mail. - OAuth-Consent — der „Genehmigen"-Knopf auf
/oauth/authorizeprüft, damit ChatGPT-Connectors nicht von Bot-Konten autorisiert werden.
Umgebungsvariablen
Zwei Variablen schalten Turnstile scharf:
NEXT_PUBLIC_CLOUDFLARE_TURNSTILE_KEY— Site-Key für das Widget. Wird ins Frontend ausgeliefert.CLOUDFLARE_TURNSTILE_SECRET— Secret-Key für die Server-Verifikation. Niemals ins Frontend.
Eigene Restaurant-Site
Wenn das Restaurant das Buchungs-Widget auf der eigenen Website einbettet, übernimmt Onboards Widget das Rendering der Turnstile-Challenge. Das Restaurant muss nichts zusätzlich tun. Die Verifikation läuft gegen Onboards Secret — der Restaurant-Betreiber sieht keinen rohen Turnstile-Token.
Warum Turnstile, nicht reCAPTCHA
- Keine Google-Tracking-Cookies. Wichtig für ein DSGVO-faires Setup.
- Passiv per Default — der Gast sieht nichts, solange der Browser unverdächtig ist.
- Schnelle Auflösung — typisch unter 100 ms gegen den Cloudflare-Endpoint.
- Kostenfrei in den meisten Volumen-Klassen.