Oauth 是否可以以某种方式将recaptcha与auth0一起使用，以避免用户登录但仍有令牌？

我有一个客户端应用程序，它使用auth0访问服务器上的不同API。但现在我想添加另一个应用程序，一个单页应用程序，我将使用VueJs，这个应用程序将“理想地”打开，用户无需登录，它就像一个功能减少的演示，我只想检查用户基本上不是机器人，所以在这些情况下我不会公开我的API

到目前为止我的想法：
-以某种方式同时使用recaptcha和auth0。
-然后有一个新的服务器，它将验证只对允许的端点进行调用（我对这个问题不感兴趣），这样即使auth受到攻击，也不会让真正的服务器对所有类型的调用开放。
-将调用与承载令牌一起传递到服务器，就像我使用其他旧客户端应用程序一样

这是否可行？现在我强迫用户验证，这更多的是关于UX（用户体验），但我希望有一种方法来避免这种情况。我知道，仅仅使用auth0我无法做到这一点，所以我希望我所提到的内容之间能够混合使用

编辑：

---

我坚持在这两种情况下都进行验证，但我仍然有兴趣获得关于这一点的意见，作为未来的参考。

最后，对于auth0如何工作的概念，这一想法是不可能的，因此我的方法如下： 给临时身份验证（auth 0）访问者一个访问级别受限的令牌，然后将请求传递给一个新的中间服务器，目的是加密真实的ID，以便前端认为它正在请求项目A123456等，当它实际上要在中间服务器中解密以提供46Y等，并且给定白名单时，它将决定将令牌连同令牌一起传递给最终服务器，最终服务器有措施来减少XSS和DDoS威胁。p>

---

无论如何，如果有更好的解决办法，我将更改已接受的答案。

在这些情况下，我们通常会做的是创建两个不同的端点，一个使用令牌，另一个接收Recaptcha令牌并使用Google服务器验证

---

两个端点最终都会调用相同的代码，但通过这种方式，您可以在“公共”端点的一个层中添加额外的功能，以确保您只要求公共功能（如果不能仅通过修改接口来授予该功能）。

您可以混合使用recaptcha来实现开放公共，然后在服务器端分析传入的用户请求（您已经可以尝试获取人工生成的数字指纹，只是为了与机器人生成的指纹区分），服务器（更多的是中间服务器）向您调用API（并且此服务器的表面访问权限有限）