Robot wall

[XavierJp]

Cette PR introduit une middleware protectWithCaptcha a appeler en tout début de la route à protéger contre les robots.

protectWithCaptcha vérifie la présence d'un cookie attestant que le visiteur a passé une étape de Captcha et n'est pas un robot. Si le cookie est absent ou périmé (plus de 10min) la réponse est négative. Sinon le visteur peut accéder a la page.

Si cette vérification s'avère négative, l'utilisateur est redirigé sur la page captcha qui lui affiche un challenge anti-bot.

A la soumission de ce dernier, le visiteur doit encore appeler la route d'API /api/verify-captcha qui vérifie auprès des services de Google le succès de challenge anti-bot.

Soit Google confirme et on redirige vers la page initialement demandée, tout en ajoutant un cookie qui whiteliste le visiteur pour les 10 prochaines minutes.

Soit Google "denonce" le visiteur et celui ci est redirigé vers /403.

[Bernardstanislas]

il y a une tonne de manipulations techniques dans ce fichier, ça me lève une alerte dans ma tête. D'une part j'ai du mal à en faire une review pertinente, d'autre part je me dis : si cette complexité est nécessaire et non couverte par une lib externe, alors dédramatise-la avec des tests unitaires, si elle est couverte par une lib externe, utilise-la.