使用 Envoy 和 WASM 构建自适应摩擦 API 网关 (ZH)

自适应摩擦解析实施动态安全策略，根据实时风险信号调整验证步骤，优化用户体验和欺诈预防。

Envoy 与 WASM 的协同效应利用 Envoy Proxy 进行强大的流量管理，并使用 WebAssembly (WASM) 在您的 API 网关内实现高性能、可移植和可扩展的自定义逻辑。

实时策略执行在边缘实现即时决策，对访问和验证流程进行精细控制，而不会影响后端服务。

Didit 在身份编排中的作用将 Didit 的 AI 原生身份验证套件，包括身份验证和活体检测，直接集成到您的网关中，以实现无缝、合规且防欺诈的用户旅程。

现代 API 网关中自适应摩擦的需求

在当今的数字环境中，平衡用户体验与强大安全性至关重要。传统的静态安全措施往往会导致合法用户面临过度摩擦，或对复杂威胁防护不足。这时，“自适应摩擦”的概念就应运而生。自适应摩擦涉及根据实时风险评估动态调整所需的安全和验证级别。例如，低风险用户可能会体验无缝登录，而高风险交易或未知设备可能会触发额外的身份验证步骤，例如生物识别扫描或文档检查。

API 网关是实施此类自适应策略的理想场所。它充当所有 API 流量的单一入口点，为身份验证、授权、速率限制以及至关重要的动态策略执行提供中央控制平面。通过在这一层集成智能，组织可以创建更安全、更友好的用户体验。

Envoy Proxy 作为您的 API 网关基础

Envoy Proxy 已成为构建现代 API 网关和服务网格的领先选择。由 Lyft 开发，现已成为云原生计算基金会 (CNCF) 项目，Envoy 是一个高性能、开源的边缘和服务代理。其主要特点包括：

• 高性能：Envoy 用 C++ 构建，旨在实现速度和效率。
• 可扩展性：丰富的过滤器链机制允许在请求生命周期的各个点插入自定义逻辑。
• 可观察性：开箱即用，提供全面的指标、日志记录和跟踪功能。
• 动态配置：支持通过 xDS API 进行动态更新，实现不停机配置更改。

这些功能使 Envoy 成为需要处理复杂路由、流量管理和安全策略的 API 网关的绝佳选择。然而，为了实现真正的自适应摩擦，我们需要一种方法来注入自定义的、特定于应用程序的逻辑，该逻辑可以响应实时信号，而无需重新编译或重新启动代理。

WebAssembly (WASM) 用于边缘的自定义、可移植逻辑

这就是 WebAssembly (WASM) 成为 API 网关游戏规则改变者的地方。WASM 为可执行文件提供了一种安全、可移植且高性能的二进制指令格式。它允许开发人员使用 C++、Rust、Go 或 AssemblyScript 等语言为 Envoy 编写自定义过滤器，将其编译为 WASM，并动态加载到 Envoy 中。这提供了几个显著优势：

• 性能：WASM 模块以接近原生速度执行。
• 可移植性：一旦编译，WASM 模块可以在任何 WASM 兼容运行时中运行，包括 Envoy。
• 隔离和安全性：WASM 模块在沙盒环境中运行，防止它们干扰代理的核心功能或其他模块。
• 动态加载：WASM 过滤器可以更新并重新加载到 Envoy 中，而无需完全重新启动代理，从而实现新策略的快速迭代和部署。

将 Envoy 强大的代理功能与 WASM 的灵活性相结合，您可以构建一个可以强制执行实时自适应策略的 API 网关。例如，WASM 过滤器可以检查传入请求，检查 IP 信誉、设备智能，甚至与实时欺诈检测服务集成，然后决定是允许请求、通过额外验证（如 Didit 的被动和主动活体检测）挑战用户，还是完全阻止请求。

使用 Envoy 和 WASM 构建自适应摩擦策略

为了实现自适应摩擦，您的 WASM 过滤器通常会：

1. 提取请求上下文：收集 IP 地址、用户代理、请求的端点和身份验证状态等信息。
2. 与风险引擎集成：调用外部风险评估服务或内部策略引擎。Didit 强大的身份套件在这方面具有不可估量的价值。例如，如果风险引擎标记了某个用户，WASM 过滤器可以利用 Didit 的身份验证或 1:1 人脸匹配触发逐步验证流程。
3. 评估策略：根据风险评分和预定义规则，确定适当的操作。
4. 执行操作：
• 通过：允许请求继续。
• 逐步验证：将用户重定向到验证流程（例如，针对受年龄限制内容使用 Didit 的年龄估算，或针对金融服务使用地址证明）。
• 阻止：拒绝请求并返回错误。
• 速率限制：对可疑活动施加更严格的速率限制。

这种动态方法允许您强制执行以下策略：

• 如果用户从新设备或异常位置登录，在授予访问权限之前，使用 Didit 的被动和主动活体检测触发活体检查。
• 对于高价值交易，要求使用 Didit 的 OCR 和 MRZ 扫描功能进行完整的身份验证。
• 对于访问受年龄限制内容的用户，集成 Didit 的隐私保护年龄估算以确认资格。
• 通过 Didit 对标记为高风险的金融交易执行实时 AML 筛选和监控。

WASM 的强大之处在于，这些策略可以独立于 Envoy 二进制文件进行编写、测试和部署，为响应不断变化的威胁和合规性要求提供了前所未有的敏捷性。

Didit 如何提供帮助

Didit 是一个 AI 原生、开发者优先的身份平台，完美补充了用于自适应摩擦的 Envoy + WASM API 网关。我们的模块化架构和简洁的 API 允许无缝集成到您的自定义 WASM 过滤器或直接集成到您的应用程序逻辑中。Didit 提供了实时风险编排和自动化信任所需的核心身份原语：

• 身份验证（OCR、MRZ、条形码）：自动化文档检查以进行全球身份验证。
• 被动和主动活体检测：通过先进的生物识别活体检测打击深度伪造和演示攻击。
• 1:1 人脸匹配和人脸搜索：将用户安全地链接到其已验证的身份。
• AML 筛选和监控：通过对照观察列表进行筛选，确保符合全球法规。
• 年龄估算：针对游戏、酒精和应用商店等受监管行业的隐私保护年龄验证。
• 地址证明：快速有效地验证居住地址。
• 电话和电子邮件验证：增强账户安全性并防止虚假注册。

通过集成 Didit 的全面套件，您的 Envoy + WASM 网关可以就信任和风险做出智能的实时决策。Didit 的免费核心 KYC 提供了一个强大的起点，其按成功检查付费模式，加上零设置费用，使其成为各种规模企业经济可行且高度可扩展的解决方案。我们的 AI 原生方法确保了准确性和效率，推动自动化而非手动审查，并提供结构化的身份数据以获得更好的洞察力和合规性。

准备好开始了吗？

准备好亲身体验 Didit 了吗？立即获取免费演示。

使用Didit 的免费套餐免费开始验证身份。