Middleware FastAPI para Pontuação de Risco de Identidade em Tempo Real com Didit (PT-PT)
Implemente um sistema robusto de pontuação de risco de identidade em tempo real nas suas aplicações FastAPI, utilizando os webhooks da Didit.
A Pontuação de Risco em Tempo Real é EssencialAs aplicações modernas exigem uma avaliação imediata do risco de identidade para combater eficazmente a fraude e garantir a conformidade.
O Manuseamento Seguro de Webhooks é FundamentalA implementação de verificação robusta de assinatura e de carimbos de data/hora para webhooks recebidos previne adulterações e ataques de repetição, crucial para manter a integridade dos dados.
O Middleware FastAPI Otimiza a IntegraçãoAproveitar as capacidades de middleware do FastAPI permite o processamento centralizado e eficiente de eventos assíncronos de webhook, integrando-se perfeitamente no fluxo da sua aplicação.
Didit Potencia a Orquestração Inteligente de IdentidadesA Didit fornece a verificação de identidade nativa de IA e a infraestrutura de webhook, oferecendo notificações em tempo real e sinais de risco abrangentes para fundamentar as decisões de segurança da sua aplicação.
No cenário digital atual, a velocidade e a precisão da verificação de identidade impactam diretamente a postura de segurança e a experiência do utilizador de uma aplicação. À medida que as empresas crescem, a necessidade de pontuação de risco em tempo real torna-se primordial, permitindo uma ação imediata contra atividades fraudulentas e garantindo a conformidade com as normas regulamentares. A integração de uma plataforma avançada de verificação de identidade como a Didit com o seu backend, particularmente utilizando uma framework moderna como o FastAPI, pode melhorar significativamente as suas defesas.
Esta publicação irá guiá-lo na construção de um middleware robusto para FastAPI, para processar os webhooks da Didit para pontuação de risco de identidade em tempo real. Abordaremos a receção segura de webhooks, a verificação de assinatura e como integrar estes sinais de risco críticos na lógica da sua aplicação.
O Poder dos Webhooks para Sinais de Identidade em Tempo Real
Os webhooks são um pilar da comunicação assíncrona moderna, permitindo que os serviços enviem notificações em tempo real para outras aplicações quando ocorrem eventos específicos. Para a verificação de identidade, isto significa que, assim que um utilizador conclui uma etapa de verificação, ou uma avaliação de risco é finalizada, a Didit pode informar imediatamente a sua aplicação. Este feedback em tempo real é crucial para a pontuação de risco dinâmica, permitindo-lhe:
- Atualizar instantaneamente perfis de utilizador: Marcar utilizadores como verificados ou sinalizá-los para revisão com base no resultado da Verificação de ID ou Deteção de AML.
- Desencadear fluxos de trabalho condicionais: Se um utilizador falhar uma verificação de Deteção de Vivacidade ou for sinalizado durante a Deteção de AML, pode iniciar imediatamente um processo de revisão mais aprofundado ou bloquear o acesso.
- Melhorar a deteção de fraude: Combinar os sinais de risco da Didit, como Análise de IP ou resultados de Verificação Telefónica, com os seus modelos internos de fraude para uma avaliação mais abrangente.
Os webhooks da Didit fornecem cargas JSON detalhadas com os resultados de várias verificações, incluindo as de Verificação de ID, Vivacidade Passiva e Ativa, Correspondência Facial 1:1, Deteção e Monitorização de AML, Prova de Morada e Verificação Telefónica e de E-mail. Estes pontos de dados ricos são inestimáveis para a construção de um perfil de risco em tempo real para cada utilizador.
Proteger o Seu Endpoint de Webhook com Middleware FastAPI
Receber webhooks de forma segura é inegociável. Atores maliciosos podem tentar enviar eventos falsos ou repetir eventos antigos, levando a dados comprometidos ou ações incorretas. Os webhooks da Didit incluem uma assinatura HMAC-SHA256 e um carimbo de data/hora, que são essenciais para verificar a autenticidade e a integridade de cada pedido recebido. O middleware FastAPI é um excelente local para implementar estas verificações de segurança de forma centralizada.
Aqui está um esquema conceptual de como estruturaria o seu middleware FastAPI:
import hmac
import hashlib
import time
from fastapi import FastAPI, Request, HTTPException
from starlette.middleware.base import BaseHTTPMiddleware
from starlette.responses import JSONResponse
WEBHOOK_SECRET = "YOUR_DIDIT_WEBHOOK_SECRET" # Obtenha isto da Consola Didit -> Chaves de API
class DiditWebhookSignatureMiddleware(BaseHTTPMiddleware):
async def dispatch(self, request: Request, call_next):
if request.url.path == "/api/webhooks/didit":
signature = request.headers.get("X-Signature")
timestamp = request.headers.get("X-Timestamp")
if not signature or not timestamp:
raise HTTPException(status_code=401, detail="Assinatura ou carimbo de data/hora do webhook em falta")
# 1. Verificar a Frescura do Carimbo de Data/Hora (por exemplo, dentro de 5 minutos)
try:
request_time = int(timestamp)
if abs(time.time() - request_time) > 300: # 300 segundos = 5 minutos
raise HTTPException(status_code=401, detail="Carimbo de data/hora do webhook muito antigo ou muito recente")
except ValueError:
raise HTTPException(status_code=401, detail="Formato de carimbo de data/hora inválido")
# 2. Reconstruir a carga útil assinada
body = await request.body()
signed_payload = f"{timestamp}.{body.decode('utf-8')}"
# 3. Calcular a assinatura esperada
expected_signature = hmac.new(
WEBHOOK_SECRET.encode('utf-8'),
signed_payload.encode('utf-8'),
hashlib.sha256
).hexdigest()
# 4. Comparar assinaturas
if not hmac.compare_digest(expected_signature, signature):
raise HTTPException(status_code=401, detail="Assinatura de webhook inválida")
# Se a assinatura e o carimbo de data/hora forem válidos, prossiga
request.state.didit_webhook_body = body.decode('utf-8') # Armazenar para processamento posterior
return await call_next(request)
app = FastAPI()
app.add_middleware(DiditWebhookSignatureMiddleware)
@app.post("/api/webhooks/didit")
async def handle_didit_webhook(request: Request):
# O corpo do webhook já foi verificado e está disponível em request.state
payload = json.loads(request.state.didit_webhook_body)
# Processar a carga útil para pontuação de risco, atualizar o estado do utilizador, etc.
print("Webhook Didit válido recebido:", payload)
return JSONResponse({"status": "success"})
Este middleware garante que cada pedido de webhook da Didit que atinge o seu endpoint /api/webhooks/didit é autenticado e recente antes que a lógica da sua aplicação sequer veja a carga útil. Esta é uma camada crítica de defesa contra vários vetores de ataque.
Integrar Sinais de Risco em Tempo Real na Lógica da Sua Aplicação
Uma vez que a carga útil do webhook é verificada e analisada, a sua aplicação pode extrair as informações necessárias para atualizar as pontuações de risco do utilizador ou desencadear ações específicas. A documentação da API Full Flow da Didit descreve a estrutura abrangente destas cargas úteis, incluindo session_id, vendor_data (o seu ID de utilizador interno) e os resultados detalhados de cada etapa de verificação.
Por exemplo, se um utilizador passar por Verificação de ID e Deteção de Vivacidade, a carga útil do webhook conterá o estado destas verificações. Poderá definir uma pontuação de risco com base em:
- Verificação de ID bem-sucedida: Diminui a pontuação de risco.
- Deteção de Vivacidade falhada: Aumenta significativamente a pontuação de risco, potencialmente desencadeando um congelamento de conta.
- Deteção de AML (PEP/Sanções): Alto risco, exigindo revisão manual imediata.
- Número de telefone descartável detetado (da Verificação Telefónica): Risco moderado, pode indicar intenção fraudulenta.
O trabalho do seu handler de webhook é interpretar estes sinais e atualizar o estado interno do utilizador ou o perfil de risco de acordo. Isto pode envolver a atualização de um campo user_status na sua base de dados, a adição de uma sinalização para revisão manual, ou mesmo a integração com um sistema dedicado de gestão de fraude.
Como a Didit Ajuda
A Didit é a plataforma de identidade nativa de IA, focada no programador, projetada para tornar a pontuação de risco de identidade em tempo real contínua e eficiente. A nossa arquitetura modular permite-lhe compor fluxos de trabalho de verificação que satisfazem precisamente as suas necessidades, desde a Verificação de ID básica até à Deteção e Monitorização de AML avançada e Vivacidade Passiva e Ativa. Fornecemos capacidades robustas de webhook, garantindo que as suas aplicações recebem notificações seguras e em tempo real sobre os resultados da verificação.
Com a Didit, beneficia de:
- KYC Básico Gratuito: Comece com a verificação de identidade essencial sem custos, permitindo-lhe construir e testar a sua integração sem investimento inicial.
- Inteligência Nativa de IA: Aproveite a IA de ponta para deteção superior de fraude, deteção de vivacidade e análise de documentos, fornecendo sinais de risco precisos.
- Abordagem Focada no Programador: APIs limpas, documentação abrangente e um sandbox instantâneo tornam a integração com frameworks como o FastAPI simples e rápida.
- Fluxos de Trabalho Orquestrados: Defina fluxos de verificação complexos com um motor sem código, permitindo-lhe adaptar-se a cenários de risco em evolução sem alterações de código.
- Cobertura Global: Verifique identidades em todo o mundo com suporte para diversos tipos de documentos e requisitos de conformidade regionais.
Ao aproveitar os produtos de Verificação Telefónica e de E-mail, Verificação de ID e Deteção e Monitorização de AML da Didit, combinados com a nossa infraestrutura de webhook segura, pode construir um sistema de pontuação de risco de identidade altamente responsivo e resiliente dentro da sua aplicação FastAPI. A nossa plataforma fornece os dados em tempo real de que necessita para tomar decisões informadas e proteger o seu negócio.
Pronto para Começar?
Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.
Comece a verificar identidades gratuitamente com o nível gratuito da Didit.