المدونة · 6 مارس 2026

تأمين الواجهة الخلفية لـ Node.js: التحقق من HMAC لـ Didit Webhooks (AR)

يُعد تطبيق إجراءات أمنية قوية لخطافات الويب أمرًا بالغ الأهمية لسلامة البيانات ومنع الوصول غير المصرح به. يركز هذا الدليل على التحقق من توقيع HMAC لخطافات الويب الخاصة بـ Didit في Node.js.

بواسطة Didit6 مارس 2026تحديث 21 مايو 2026

secure-your-nodejs-backend-hmac-validation-for-didit-webhooks.png

حماية سلامة البيانات يُعد التحقق من توقيع HMAC ضروريًا للتحقق من صحة وسلامة حمولات خطاف الويب، مما يحمي الواجهة الخلفية الخاصة بك من الطلبات المزيفة أو التي تم التلاعب بها.

منع هجمات إعادة التشغيل يضيف التحقق من الطابع الزمني، جنبًا إلى جنب مع توقيعات HMAC، طبقة حاسمة من الدفاع ضد هجمات إعادة التشغيل، مما يضمن معالجة الإشعارات الجديدة فقط.

تكامل سلس يوفر نهج Didit الذي يركز على المطورين توثيقًا وأدوات واضحة، مما يجعل دمج معالجة خطاف الويب الآمن في تطبيق Node.js الخاص بك أمرًا مباشرًا وفعالًا.

البنية التحتية الآمنة لـ Didit تم بناء منصة Didit مع وضع الأمان في الاعتبار، حيث تقدم إشعارات KYC في الوقت الفعلي عبر خطافات الويب مع تحقق قوي من توقيع HMAC، مما يتيح لك بناء حلول هوية موثوقة ومتوافقة.

الحاجة الماسة لأمان خطاف الويب

تُعد خطافات الويب أدوات قوية للاتصال في الوقت الفعلي بين الخدمات، مما يتيح التحديثات الفورية والبنى المعتمدة على الأحداث. في سياق التحقق من الهوية، تستخدم Didit خطافات الويب لإخطار الواجهة الخلفية الخاصة بك باكتمال جلسات التحقق، أو نتائج فحص مكافحة غسل الأموال (AML)، أو غيرها من الأحداث الحرجة المتعلقة بالهوية. على الرغم من الكفاءة العالية، إلا أن خطافات الويب تقدم أيضًا تحديات أمنية. بدون التحقق المناسب، يمكن لجهة خبيثة إرسال حمولات خطاف ويب مزورة أو معدلة، مما يؤدي إلى معالجة بيانات غير صحيحة، أو إجراءات غير مصرح بها، أو حتى اختراق النظام.

هنا يصبح التحقق من توقيع HMAC (رمز مصادقة الرسالة القائم على التجزئة) لا غنى عنه. يوفر HMAC آلية تشفير للتحقق من صحة وسلامة الرسالة. باستخدام مفتاح سري مشترك، يمكن للواجهة الخلفية الخاصة بك التأكد من أن حمولة خطاف الويب نشأت من Didit ولم يتم التلاعب بها أثناء النقل. لأي نظام يتعامل مع بيانات هوية حساسة، مثل تلك التي تعالجها خدمات Didit للتحقق من الهوية، وفحص مكافحة غسل الأموال (AML)، أو إثبات العنوان، فإن هذا المستوى من الأمان ليس مجرد أفضل ممارسة - إنه ضرورة.

فهم التحقق من توقيع HMAC

يعمل التحقق من HMAC عن طريق إنشاء توقيع فريد لكل حمولة خطاف ويب باستخدام مفتاح سري معروف فقط لـ Didit وتطبيقك. عندما تتلقى الواجهة الخلفية لـ Node.js خطاف ويب، فإنها تقوم بنفس حساب التوقيع باستخدام نسختها من المفتاح السري. إذا تطابق التوقيع المحسوب مع التوقيع المقدم في رؤوس خطاف الويب، يمكنك أن تكون واثقًا من أن الحمولة أصلية ولم يتم التلاعب بها.

تتضمن خطافات الويب الخاصة بـ Didit رأس X-Signature الذي يحتوي على توقيع HMAC-SHA256 ورأس X-Timestamp. يُعد الطابع الزمني حاسمًا لمنع هجمات إعادة التشغيل. تحدث هجمة إعادة التشغيل عندما يعترض مهاجم خطاف ويب شرعي ويعيد إرساله لاحقًا. من خلال التحقق من أن الطابع الزمني جديد (على سبيل المثال، خلال نافذة 5 دقائق)، يمكنك تجاهل الطلبات القديمة التي قد تكون قد تم إعادة تشغيلها.

تطبيق التحقق من HMAC في Node.js

دعنا نمر عبر الخطوات لتطبيق التحقق من توقيع HMAC لخطافات الويب الخاصة بـ Didit في تطبيق Node.js Express. ستحتاج إلى الوصول إلى مفتاحك السري لخطاف الويب، والذي يمكن العثور عليه في Didit Business Console أو استرداده عبر واجهة برمجة تطبيقات الإدارة.

1. تهيئة نقطة نهاية خطاف الويب الخاصة بك

أولاً، قم بإعداد نقطة نهاية Express يمكنها استقبال طلبات POST. من الأهمية بمكان الوصول إلى نص الطلب الخام قبل أي وسيط تحليل JSON، حيث يتم حساب التوقيع على الحمولة الخام.


const express = require('express');
const crypto = require('crypto');
const bodyParser = require('body-parser');

const app = express();
const DIDIT_WEBHOOK_SECRET = process.env.DIDIT_WEBHOOK_SECRET; // Store securely!

// Middleware to get raw body
app.use(bodyParser.json({ verify: (req, res, buf) => {
  req.rawBody = buf.toString();
}}));

app.post('/api/webhooks/didit', (req, res) => {
  // Webhook processing logic will go here
  res.status(200).send('Webhook received');
});

app.listen(3000, () => console.log('Server running on port 3000'));

2. التحقق من توقيع HMAC

داخل معالج خطاف الويب الخاص بك، ستقوم باستخراج الطابع الزمني والتوقيع من الرؤوس، وإعادة بناء الحمولة الموقعة، ومقارنة توقيعك المحسوب مع التوقيع المقدم من Didit.


app.post('/api/webhooks/didit', (req, res) => {
  const signatureHeader = req.headers['x-signature'];
  const timestampHeader = req.headers['x-timestamp'];
  const rawBody = req.rawBody;

  if (!signatureHeader || !timestampHeader || !rawBody) {
    return res.status(400).send('Missing webhook headers or body.');
  }

  const [algorithm, diditSignature] = signatureHeader.split('=');

  if (algorithm !== 'sha256') {
    return res.status(400).send('Unsupported signature algorithm.');
  }

  // Reconstruct the signed payload string
  const signedPayload = `${timestampHeader}.${rawBody}`;

  // Calculate your own signature
  const expectedSignature = crypto
    .createHmac('sha256', DIDIT_WEBHOOK_SECRET)
    .update(signedPayload)
    .digest('hex');

  // Compare signatures securely
  const signatureMatches = crypto.timingSafeEqual(
    Buffer.from(diditSignature, 'utf8'),
    Buffer.from(expectedSignature, 'utf8')
  );

  if (!signatureMatches) {
    console.warn('Webhook signature mismatch!');
    return res.status(401).send('Invalid signature.');
  }

  // Signature is valid, now check timestamp
  // ... (timestamp validation in next step)

  // Process event
  console.log('Webhook validated successfully:', req.body);
  res.status(200).send('Webhook received and processed.');
});

3. التحقق من الطابع الزمني

بعد التحقق من التوقيع، تأكد من أن خطاف الويب ليس إعادة تشغيل. تتمثل الممارسة الشائعة في السماح بنافذة تسامح صغيرة (على سبيل المثال، 5 دقائق) لتأخيرات الشبكة.


// ... (inside the webhook handler, after signature validation)

  const fiveMinutesAgo = Date.now() / 1000 - (5 * 60); // 5 minutes in seconds
  const eventTimestamp = parseInt(timestampHeader, 10);

  if (isNaN(eventTimestamp) || eventTimestamp < fiveMinutesAgo) {
    console.warn('Webhook timestamp too old or invalid!');
    return res.status(401).send('Invalid or old timestamp.');
  }

  // Now you can safely parse and process the JSON body
  try {
    const event = JSON.parse(rawBody);
    console.log('Processed Didit event:', event);
    // Example: Update user status based on event.database_validation.status

    // Didit's Database Validation Report structure:
    // const validationStatus = event.database_validation.status;
    // const matchType = event.database_validation.match_type;
    // console.log(`Validation Status: ${validationStatus}, Match Type: ${matchType}`);

    res.status(200).send('Webhook received and processed.');
  } catch (error) {
    console.error('Error parsing webhook body:', error);
    res.status(400).send('Invalid JSON body.');
  }
});

أفضل الممارسات للتعامل مع خطافات الويب

تخزين الأسرار بأمان: لا تقم أبدًا بتضمين مفتاحك السري لخطاف الويب في الكود بشكل ثابت. استخدم متغيرات البيئة أو خدمة إدارة سرية آمنة.
اللا تكرارية (Idempotency): صمم معالجات خطاف الويب الخاصة بك لتكون لا تكرارية. هذا يعني أن معالجة نفس خطاف الويب عدة مرات (بسبب عمليات إعادة المحاولة، على سبيل المثال) يجب أن يكون لها نفس تأثير معالجته مرة واحدة.
المعالجة غير المتزامنة: للمهام طويلة الأمد، قم بالإقرار بخطاف الويب فورًا باستجابة 200 OK ثم قم بمعالجة الحمولة بشكل غير متزامن باستخدام قائمة انتظار رسائل. هذا يمنع المهلات ويضمن عدم استمرار Didit في إعادة محاولة خطاف الويب.
التسجيل والمراقبة: قم بتطبيق تسجيل قوي لجميع خطافات الويب المستلمة، بما في ذلك فشل التحقق. راقب نقطة نهاية خطاف الويب الخاصة بك بحثًا عن نشاط غير عادي أو معدلات خطأ عالية.
معالجة الأخطاء: أرجع رموز حالة HTTP المناسبة (على سبيل المثال، 400 لطلب سيء، 401 لغير مصرح به، 500 لأخطاء الخادم) لمساعدة Didit على فهم ما إذا كانت إعادة المحاولة ضرورية.

كيف تساعد Didit

تم تصميم Didit لتكون منصة هوية تعتمد على الذكاء الاصطناعي وتضع المطور في المقام الأول، مما يجعل عمليات التكامل الآمنة مثل معالجة خطاف الويب مباشرة وموثوقة. تعني بنيتنا المعيارية أنه يمكنك بسهولة توصيل فحوصات الهوية، بما في ذلك التحقق من الهوية، والتحقق من الحيوية السلبية والنشطة، وفحص ومراقبة مكافحة غسل الأموال (AML)، وتلقي التحديثات في الوقت الفعلي عبر خطافات الويب الآمنة. توفر Didit توثيقًا وأمثلة واضحة لدمج خطافات الويب، مما يضمن أنه يمكنك إعداد قنوات اتصال قوية وآمنة بسرعة.

نحن نؤمن بجعل التحقق من الهوية متاحًا وقويًا. لهذا السبب نقدم KYC الأساسي المجاني، ونموذج الدفع مقابل كل تحقق ناجح، وبدون رسوم إعداد على الإطلاق. من خلال الاستفادة من منصة Didit، يمكنك الوصول إلى حل عالمي قابل للتطوير يقوم بأتمتة الثقة وينظم المخاطر، كل ذلك مع الحفاظ على أعلى معايير الأمان، بما في ذلك التحقق من توقيع HMAC للإشعارات في الوقت الفعلي.

هل أنت مستعد للبدء؟

هل أنت مستعد لرؤية Didit عمليًا؟ احصل على عرض توضيحي مجاني اليوم.

ابدأ في التحقق من الهويات مجانًا باستخدام الطبقة المجانية من Didit.