عزز التدفقات الحساسة بمطابقة وجه في أقل من ثانيتين مقابل الصورة المسجلة. مقاومة للتصيد الاحتيالي. مقاومة لتبديل بطاقة SIM. 0.10 دولار لكل مصادقة. 500 عملية تحقق مجانية كل شهر.
موثوق به من قبل أكثر من 2000 منظمة حول العالم.
مقاومة للتصيد الاحتيالي · مقاومة لتبديل بطاقة SIM
العامل الثاني هو وجه المستخدم، تتم مطابقته 1:1 مع الصورة التي سجلها عند الاشتراك. تمنع خاصية التحقق من الحيوية هجمات الطباعة / إعادة التشغيل / القناع / الشبكة التوليدية التنافسية (GAN) على نفس الإطار. حكم في أقل من ثانيتين على أجهزة Android للمبتدئين. 0.10 دولار لكل مصادقة. 500 عملية تحقق مجانية كل شهر.
اختر الفحوصات التي تريدها — الهوية، الحيوية، مطابقة الوجه، العقوبات، العنوان، العمر، الهاتف، البريد الإلكتروني، الأسئلة المخصصة. اسحبها إلى تدفق في لوحة التحكم، أو انشر نفس التدفق على واجهة برمجة التطبيقات الخاصة بنا. تفرع بناءً على الشروط، قم بإجراء اختبارات A/B، لا يلزم وجود رمز.
قم بالتضمين بشكل أصلي باستخدام SDK الخاص بنا للويب، iOS، Android، React Native، أو Flutter. أعد التوجيه إلى صفحة مستضافة. أو ببساطة أرسل لمستخدمك رابطًا — عبر البريد الإلكتروني، الرسائل القصيرة، واتساب، أي مكان. اختر ما يناسب مكدسك.
تستضيف Didit الكاميرا، إشارات الإضاءة، التسليم عبر الهاتف المحمول، وإمكانية الوصول. بينما يكون المستخدم في التدفق، نقوم بتسجيل أكثر من 200 إشارة احتيال في الوقت الفعلي والتحقق من كل حقل مقابل مصادر البيانات الموثوقة. النتيجة في أقل من ثانيتين.
تحافظ الـ webhooks الموقعة في الوقت الفعلي على مزامنة قاعدة بياناتك لحظة الموافقة على المستخدم، أو رفضه، أو إرساله للمراجعة. استعلم واجهة برمجة التطبيقات عند الطلب. أو افتح وحدة التحكم لفحص كل جلسة، وكل إشارة، وإدارة الحالات بطريقتك.
Didit · المصادقة البيومترية
تأكيد التحويل
أظهر وجهك للتفويض
Didit · مطابقة الوجه 1:1
مسجل
التشابه
0.96
مطابقةمباشر
Didit · مصفوفة الهجوم
Didit · محفزات التصعيد
Didit · Webhook · X-Signature-V2
الحمولة
{
"session_id": "<uuid>",
"vendor_data": "user-42",
"status": "Approved",
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}Didit · الاقتصاد
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-d '{
"workflow_id": "wf_bio_2fa",
"workflow_type": "biometric_authentication",
"vendor_data": "user-42",
// base64 reference selfie, ≤ 1MB (omit for liveness-only)
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'LIVENESS + FACE_MATCH مقابل portrait_image المقدمة.الوثائق ←$ curl -X POST https://verification.didit.me/v3/face-match/ \
-H "x-api-key: $DIDIT_API_KEY" \
-F "image_a=@live.jpg" \
-F "image_b=@enrolled.jpg"You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.
1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.
Pricing (public):
- Biometric Authentication: $0.10 per authentication (Sessions API)
- Standalone Face Match 1:1: $0.05 per match (server-to-server)
- First 500 verifications free every month, forever
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
- The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
- A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).
STEP 1 — Enrolment (one-time, at user sign-up)
Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.
POST https://verification.didit.me/v3/session/
Body:
{
"workflow_id": "<your KYC workflow>",
"vendor_data": "<your user id>"
}
No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.
STEP 2 — Re-authentication (on every sensitive action)
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<your biometric_authentication workflow>",
"workflow_type": "biometric_authentication",
"vendor_data": "<the same user id used at enrolment>",
"callback": "https://<your-app>/2fa/callback",
"metadata": {
"reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
"amount": "<optional, for large-value transfers>"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
}
Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
- Opens the front camera
- Captures one passive frame
- Runs Liveness + Face Match 1:1 against the user's enrolled portrait
- Returns the verdict in sub-2-seconds
STEP 3 — Read the signed verdict on the webhook
Body (excerpted for a passing re-auth):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}
Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.
Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Branch your application:
Approved → execute the action (sign in, release the transfer, save settings).
Declined → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
In Review → hold; route to your operations queue.
Not Finished → user abandoned the capture; safe to re-prompt or fall back.
STEP 4 — Alternate path (server-to-server, when you already have the selfie)
If you already captured the selfie locally (native mobile SDK, in-app camera):
POST https://verification.didit.me/v3/face-match/
Headers:
x-api-key: <your api key>
Body (multipart/form-data):
image_a <the live selfie>
image_b <the enrolled portrait>
Response: similarity_score (0-1), status (Approved | Declined | In Review).
Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
- Always verify X-Signature-V2 on every payload.
CONSTRAINTS
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
- The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.
PRO TIPS
- Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
- For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.
Read the docs:
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.0 دولار / شهر. لا يلزم بطاقة ائتمان.
ادفع فقط مقابل ما تستخدمه. أكثر من 25 وحدة. تسعير عام لكل وحدة، بدون رسوم شهرية دنيا.
اتفاقية خدمة رئيسية (MSA) واتفاقية مستوى الخدمة (SLA) مخصصة. لأحجام كبيرة وبرامج منظمة.
ابدأ مجانًا ← ادفع فقط عند إجراء الفحص ← افتح Enterprise للحصول على عقد مخصص، أو اتفاقية مستوى الخدمة (SLA)، أو إقامة البيانات.
Didit هي بنية تحتية للهوية والاحتيال — المنصة التي تمنينا وجودها عندما كنا نبني المنتجات بأنفسنا: مفتوحة، مرنة، وصديقة للمطورين، لذا فهي تعمل كجزء حقيقي من مكدسك بدلاً من صندوق أسود تدمجه حوله.
تغطي واجهة برمجة تطبيقات واحدة التحقق من الأشخاص (KYC، اعرف عميلك)، والتحقق من الشركات (KYB، اعرف عملك)، وفحص محافظ العملات المشفرة (KYT، اعرف معاملتك)، ومراقبة المعاملات في الوقت الفعلي — على مكدس مصمم ليكون:
البصمة الأساسية: أكثر من 14,000 نوع مستند بأكثر من 48 لغة، أكثر من 1,000 مصدر بيانات، وأكثر من 200 إشارة احتيال في كل جلسة. تتعلم بنية Didit التحتية ديناميكيًا من كل جلسة وتتحسن كل يوم.
مصادقة العامل الثاني باستخدام وجه المستخدم، وليس رمزًا يتم إرساله عبر الشبكة. العامل الأول هو ما يعرفه المستخدم (كلمة المرور، مفتاح المرور، الرابط السحري). العامل الثاني هو ما يكون المستخدم — صورة سيلفي حية مطابقة 1:1 لصورة سجلها المستخدم سابقًا.
توجد في نفس مكان كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة في تدفق تطبيقك، ولكن بتكلفة وأمان وملف تحويل مختلف.
أربع فئات هجوم موثقة جيدًا تهزمها. وقد نشر كل من مكتب التحقيقات الفيدرالي الأمريكي (FBI) والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) إرشادات توجه المؤسسات بعيدًا عن الرسائل القصيرة للتدفقات الحساسة.
يستغرق التدفق الكامل عادةً أقل من 30 ثانية من البداية إلى النهاية — التقاط الهوية، التقاط المستند، التقاط صورة السيلفي، انتهى. هذا هو الأسرع في السوق. عادةً ما يستغرق مقدمو خدمات KYC القدامى أكثر من 90 ثانية لنفس التدفق.
في الواجهة الخلفية، يعيد Didit النتيجة في أقل من ثانيتين عند p99، مقاسة من لحظة انتهاء المستخدم من صورة السيلفي إلى لحظة إطلاق webhook الخاص بك. تم ضبط التقاط الهاتف المحمول للهواتف البطيئة والشبكات البطيئة: ضغط الصور التدريجي، تحميل حزمة تطوير البرامج الكسول، وتسليم بنقرة واحدة من سطح المكتب إلى الهاتف عبر رمز الاستجابة السريعة إذا بدأ المستخدم على الويب.
تقوم معظم الفرق بالتسجيل خلال جلسة Know Your Customer (KYC) الأصلية للمستخدم. يتم تخزين الصورة الملتقطة بخطوة الحيوية مرتبطة بـ vendor_data الخاص بك وتستخدم كقالب لكل إعادة مصادقة لاحقة.
إذا لم تقم بتشغيل KYC عند التسجيل، يمكنك تشغيل جلسة تسجيل لمرة واحدة مقابل سير عمل Didit الذي يحتوي فقط على LIVENESS + FACE_MATCH. يكلف أي من المسارين 0.10 دولار مرة واحدة، والقالب الناتج قابل لإعادة الاستخدام لكل مصادقة مستقبلية.
تصل كل جلسة إلى إحدى الحالات السبع الواضحة، لذلك يعرف رمزك دائمًا ما يجب فعله:
Approved — اجتاز جميع الفحوصات. انقل المستخدم إلى الأمام.Declined — فشل فحص واحد أو أكثر. يمكنك السماح للمستخدم بإعادة إرسال الخطوة الفاشلة المحددة (على سبيل المثال، إعادة التقاط صورة السيلفي) دون إعادة تشغيل التدفق بأكمله.In Review — تم وضع علامة للمراجعة الامتثالية. افتح الحالة في وحدة التحكم، واطلع على كل إشارة، وقرر الموافقة أو الرفض.In Progress — المستخدم في منتصف التدفق.Not Started — تم إرسال الرابط، لم يفتحه المستخدم بعد. أرسل تذكيرًا إذا بقي طويلاً.Abandoned — فتح المستخدم الرابط ولكنه لم ينتهِ في الوقت المحدد. أعد التفاعل أو انتهت صلاحيته.Expired — انتهت صلاحية رابط الجلسة. أنشئ جلسة جديدة.يتم إطلاق webhook موقع عند كل تغيير في الحالة، لذلك تظل قاعدة بياناتك متزامنة دائمًا. الجلسات المهجورة والمرفوضة مجانية.
تتم معالجة بيانات الإنتاج وتخزينها في الاتحاد الأوروبي افتراضيًا، على Amazon Web Services. يمكن لعقود الشركات طلب مناطق بديلة للولايات القضائية التي تتطلبها الجهات التنظيمية.
تشفير في كل مكان. AES-256 في حالة السكون عبر كل قاعدة بيانات، ومخزن كائنات، ونسخة احتياطية. أمان طبقة النقل 1.3 أثناء النقل في كل استدعاء API، و webhook، وجلسة Business Console. يتم تشفير البيانات البيومترية بمفتاح رئيسي للعميل منفصل.
الاحتفاظ تحت سيطرتك. الاحتفاظ الافتراضي هو غير محدود (بلا حدود) ما لم تقم بتكوين فترة أقصر — بين 30 يومًا و 10 سنوات لكل تطبيق — ويمكنك حذف أي جلسة فردية في أي وقت من لوحة التحكم أو واجهة برمجة التطبيقات.
الشهادات: SOC 2 Type 1 (تدقيق النوع 2 قيد التقدم)، ISO/IEC 27001:2022، iBeta Level 1 PAD، وتصديق عام من Tesoro / SEPBLAC / CNMV الإسبانية بأن التحقق من الهوية عن بعد من Didit أكثر أمانًا من التحقق من شخص ما شخصيًا. التقرير الكامل على /security-compliance.
يشحن Didit متوافقًا افتراضيًا مع الجهات التنظيمية المهمة للبنية التحتية للهوية:
مذكرة مفصلة، كل شهادة، كل خطاب منظم: /security-compliance.
ثلاثة مسارات تكامل — اختر ما يناسب مكدسك:
نفس لوحة التحكم، نفس الفواتير، نفس سعر الدفع مقابل النجاح للثلاثة. دليل خطوة بخطوة على docs.didit.me/integration/integration-prompt.
إنه بديل مباشر لعقد رد الاتصال الخاص بكلمة المرور لمرة واحدة الموجود لديك.
POST /v3/session/ مع workflow_type: "biometric_authentication" ونفس vendor_data الذي استخدمته عند التسجيل.session_url الذي تم إرجاعه.X-Signature-V2 في webhook قبل الوثوق بالجسم.status — Approved (نفذ الإجراء)، Declined (حظر)، In Review (قائمة انتظار)، Not Finished (أعد المطالبة).تقوم معظم الفرق بتبديل الرسائل القصيرة بالوجه في عطلة نهاية أسبوع. المطالبة الكاملة التي يمكن لصقها بواسطة الوكيل موجودة أعلاه؛ يتحدث خادم Model Context Protocol (MCP) كلا السطحين.
تطابق الوجه 1:1 قوي في مواجهة التغيرات المعتدلة في المظهر — شعر الوجه، النظارات، لون الشعر، الإضاءة. تعكس درجة التشابه التي يتم إرجاعها لكل مصادقة مدى ثقة النموذج.
بالنسبة للمستخدمين الذين يخرجون عن عتبة الموافقة التلقائية (الحالة النموذجية: تغير كبير في الوزن، جراحة، الشيخوخة على مدى سنوات عديدة)، يعيد الحكم In Review ويوجه إلى قائمة انتظار العمليات الخاصة بك. المسار القياسي للاسترداد هو جلسة إعادة تسجيل — مكالمة KYC واحدة تحدث الصورة، وتستخدم المصادقة التالية القالب الجديد.
نعم لفئة التأصل. تعترف المعايير الفنية التنظيمية لهيئة المصارف الأوروبية بشأن المصادقة القوية للعملاء بالسمات البيومترية (شيء أنت عليه) كعامل ثانٍ صالح عند اقترانها بإحدى الفئتين الأخريين (المعرفة أو الحيازة).
للحصول على تدفق مصادقة قوية للعملاء PSD2 كامل، قم بإقران المصادقة الثنائية البيومترية بكلمة مرور المستخدم (المعرفة) أو جلسة مرتبطة بالجهاز (الحيازة). حكم Didit الموقع هو دليل حزمة التدقيق لعامل التأصل.
واجهة برمجة تطبيقات واحدة لـ KYC و KYB ومراقبة المعاملات وفحص المحفظة. ادمج في 5 دقائق.