Вы можете использовать Auth/Hcaptcha.php на любых своих формах записывая неудачные попытки на единицу времени и вызывая капчу лишь после их определенного количества. Определяющие логику попыток константы увидите в коде класса.
Для примера разберем форму авторизации: api/modal/system/authorization/sign-in.php
и её обработчик: api/action/system/authorization/sign-in.php
В форме добавляется скрытое поле
Но пока доступен лимит попыток данному IP, токен не генерируется и не отправляется с формой, поле остается пустым
Окно с формой также содержит callback функцию verifyCallback, для заполнения этого поля и submit-а, которая так же не используется, до момента пока доступны попытки
В обработчике при каждой неудачной попытке, происходит её запись(IP и время пишется классом)
Каждый раз обработчик проверяет доступное число попыток условием, и отвечает фронтенду соответствующей ошибкой, если попытки закончились или токен неверный
Поймав такой ответ, фронтенд вызывает модальное окно с капчей api/modal/system/authorization/hcaptcha.php поверх окна авторизации
В модальном окне с капчей вызывается её рендеринг window.hcaptchaRender с нашим коллбеком window.verifyCallback
После ввода капчи и заполнения hidden поля ключем происходит автоматический submit нашей формы и её отправка на обработчик.
В случае успешной проверки токена, обработчик пропускает дальше логику, либо вновь возвращает ответ
вызывающий очередной рендеринг Hcaptcha
Формы регистрации, авторизации, восстановления пароля, подтверждения почты, защищены по умолчанию, лимит - 5 попыток с одного IP в час.