Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 6 de març del 2026

Consumidors de Webhooks Idempotents amb Ruby on Rails per a Esdeveniments Didit (CA)

Construir consumidors de webhooks robustos és crucial per a un processament de dades fiable, especialment per a esdeveniments en temps real de plataformes de verificació d'identitat com Didit.

Per DiditActualitzat el
idempotent-webhook-consumers-ruby-rails-didit-events.png

Garantint la Integritat de les DadesLa idempotència és vital per processar esdeveniments de webhook de manera fiable, prevenint accions duplicades i mantenint un estat consistent a la vostra aplicació.

Aprofitant les Signatures de WebhookVerifiqueu sempre les signatures de webhook per confirmar l'autenticitat i la integritat de les sol·licituds entrants, protegint contra la manipulació i la suplantació.

Utilitzant Identificadors d'Esdeveniment ÚnicsEmmagatzemeu i comproveu els identificadors d'esdeveniment únics proporcionats en les càrregues útils dels webhooks per detectar i descartar lliuraments duplicats de manera efectiva.

El Robust Sistema de Webhooks de DiditDidit proporciona webhooks segurs i versionats amb signatures HMAC i identificadors d'esdeveniment únics, simplificant la implementació de consumidors idempotents i garantint un lliurament d'esdeveniments fiable per a fluxos de treball crítics de verificació d'identitat.

El Repte de la Idempotència dels Webhooks

Els webhooks són un mecanisme potent per a la comunicació en temps real entre serveis, permetent que la vostra aplicació reaccioni instantàniament a esdeveniments que ocorren en un altre sistema. No obstant això, la naturalesa distribuïda dels webhooks significa que els esdeveniments a vegades es poden lliurar diverses vegades. Errors de xarxa, temps d'espera o reintents poden portar a càrregues útils de webhook duplicades. Sense una gestió adequada, aquests duplicats poden causar problemes significatius a la vostra aplicació, com ara la creació de registres duplicats, l'activació d'accions redundants o la corrupció de dades.

Aquí és on la idempotència esdevé crítica. Una operació idempotent és aquella que produeix el mateix resultat tant si s'executa una vegada com si s'executa diverses vegades. Per als consumidors de webhooks, això significa dissenyar el vostre sistema per processar un esdeveniment donat només una vegada, fins i tot si la càrrega útil del webhook es rep diverses vegades. Quan es tracta de dades sensibles com els resultats de verificació d'identitat de plataformes com Didit, garantir la idempotència no és només una bona pràctica, és essencial per mantenir la integritat de les dades i la fiabilitat del sistema.

Verificació de Signatures de Webhook per a Seguretat i Autenticitat

Abans de processar qualsevol càrrega útil de webhook, el primer i més crític pas és verificar la seva autenticitat. Això garanteix que el webhook realment prové del remitent esperat (per exemple, Didit) i que el seu contingut no ha estat manipulat durant el trànsit. Els webhooks de Didit, per exemple, inclouen una signatura HMAC a les capçaleres de la sol·licitud, generada mitjançant una clau secreta compartida.

A la vostra aplicació Ruby on Rails, haureu de recuperar la clau secreta compartida del vostre compte Didit (a la qual podeu accedir a través de la Consola de Negocis o programàticament mitjançant l'API). Quan arriba un webhook, calculareu la vostra pròpia signatura HMAC utilitzant el cos de la sol·licitud i la vostra clau secreta. Aquesta signatura calculada es compara amb la signatura proporcionada a la capçalera del webhook. Si no coincideixen, la sol·licitud hauria de ser rebutjada immediatament.


class DiditWebhooksController < ApplicationController
  skip_before_action :verify_authenticity_token

  def create
    # Retrieve the shared secret key from your environment variables
    secret = ENV['DIDIT_WEBHOOK_SECRET']
    payload = request.body.read
    signature = request.headers['X-Didit-Signature'] # Or similar header name

    unless verify_signature(payload, signature, secret)
      head :unauthorized
      return
    end

    # Process the webhook payload after verification
    process_didit_event(JSON.parse(payload))
    head :ok
  end

  private

  def verify_signature(payload, signature, secret)
    digest = OpenSSL::Digest.new('sha256')
    hmac = OpenSSL::HMAC.hexdigest(digest, secret, payload)
    ActiveSupport::SecurityUtils.secure_compare("sha256=#{hmac}", signature)
  end

  def process_didit_event(event_data)
    # ... implementation for processing ...
  end
end

Didit simplifica això proporcionant una secret_shared_key com a part de la seva configuració de webhook, que es pot recuperar mitjançant l'API o rotar-se segons sigui necessari. Aquest mecanisme segur és fonamental per a qualsevol flux de treball de verificació d'identitat, on la integritat dels resultats, com els de la verificació d'identitat o les comprovacions de vivacitat, és de summa importància.

Implementació de la Idempotència amb Identificadors d'Esdeveniment Únics

Una vegada que hàgiu verificat l'autenticitat del webhook, el següent pas és garantir la idempotència. La majoria dels sistemes de webhook ben dissenyats, inclosos els de Didit, proporcionen un identificador únic per a cada esdeveniment. Aquest ID és crucial per detectar i prevenir el processament duplicat. Per als webhooks de Didit (especialment la v3, que es recomana), cada càrrega útil d'esdeveniment inclou un ID únic que podeu utilitzar per a aquest propòsit.

L'estratègia és emmagatzemar aquests ID d'esdeveniment a la vostra base de dades i comprovar-los abans de processar-los. Un patró comú implica la creació d'un model EventLog o WebhookEvent:


# db/migrate/YYYYMMDDHHMMSS_create_webhook_events.rb
class CreateWebhookEvents < ActiveRecord::Migration[7.x]
  def change
    create_table :webhook_events do |t|
      t.string :event_id, null: false, index: { unique: true }
      t.string :event_type
      t.jsonb :payload
      t.string :status, default: 'pending'
      t.timestamps
    end
  end
end

Quan arriba un webhook:

  1. Extraieu el event_id únic de la càrrega útil.
  2. Intenteu crear un nou registre WebhookEvent amb aquest event_id.
  3. Si la creació falla a causa d'una violació de restricció única (la qual cosa significa que el event_id ja existeix), llavors sabeu que és un duplicat i el podeu ignorar amb seguretat o registrar-lo com a tal.
  4. Si la creació té èxit, continueu processant l'esdeveniment, marcant el seu estat en conseqüència.

class DiditWebhooksController < ApplicationController
  # ... (signature verification as above) ...

  def create
    # ... (signature verification) ...

    event_data = JSON.parse(payload)
    event_id = event_data['id'] # Assuming 'id' is the unique event identifier from Didit

    # Use a transaction to ensure atomicity
    ActiveRecord::Base.transaction do
      webhook_event = WebhookEvent.find_or_initialize_by(event_id: event_id)

      if webhook_event.persisted? # If it already exists, it's a duplicate
        Rails.logger.info "Duplicate webhook event received: #{event_id}"
        head :ok
        return
      end

      webhook_event.event_type = event_data['type']
      webhook_event.payload = event_data
      webhook_event.status = 'processing'
      webhook_event.save!

      # Process the event in a background job for long-running tasks
      DiditEventProcessorJob.perform_later(webhook_event.id)
      head :ok
    end
  rescue ActiveRecord::RecordNotUnique # Handle race conditions for event_id
    Rails.logger.warn "Race condition detected for webhook event: #{event_id}. Ignoring."
    head :ok
  rescue JSON::ParserError
    head :bad_request
  rescue => e
    Rails.logger.error "Error processing webhook: #{e.message}"
    head :internal_server_error
  end
end

Aquest enfocament, combinat amb tasques en segon pla per al processament real, garanteix que el vostre punt final de webhook respongui ràpidament, prevenint reintents del remitent, alhora que gestiona els duplicats de manera fiable.

Gestió de Condicions de Cursa i Transaccions

Fins i tot amb un índex únic, poden produir-se condicions de cursa si arriben dos webhooks idèntics gairebé simultàniament. Tots dos podrien intentar crear un nou registre WebhookEvent abans que el primer confirmi la seva transacció. Per mitigar això:

  • Utilitzeu Transaccions de Base de Dades: Emboliqueu la lògica de find_or_initialize_by i el processament posterior dins d'una transacció de base de dades. Això garanteix que tota l'operació tingui èxit o falli, mantenint la coherència de les dades.
  • Gestioneu RecordNotUnique: Estigueu preparats per capturar excepcions ActiveRecord::RecordNotUnique. Si aquesta excepció es produeix en intentar desar un nou WebhookEvent, significa una condició de cursa on un altre procés ja ha inserit l'esdeveniment, i el podeu tractar amb seguretat com un duplicat.

Per a operacions que modifiquen dades bàsiques de l'aplicació, estendre la transacció per cobrir aquests canvis és crucial, o almenys assegurar que la tasca en segon pla que processa l'esdeveniment també implementa les seves pròpies comprovacions d'idempotència sobre les dades de l'aplicació que modifica.

Com Ajuda Didit

Didit és una plataforma d'identitat nativa d'IA, enfocada al desenvolupador, dissenyada amb fiabilitat i seguretat, facilitant la implementació de consumidors de webhooks robustos. La nostra arquitectura modular proporciona API netes i webhooks segurs que estan inherentment dissenyats per donar suport al processament idempotent.

  • Webhooks Segurs: Els webhooks de Didit proporcionen signatures HMAC fortes (utilitzant una secret_shared_key que podeu gestionar i rotar) per garantir l'autenticitat i la integritat de cada esdeveniment. Aquest primer pas crucial en la idempotència està integrat. Fins i tot podeu especificar la webhook_version (es recomana la v3) per a una estructura de càrrega útil òptima.
  • Identificadors d'Esdeveniment Únics: Cada esdeveniment de webhook de Didit inclou un identificador únic, facilitant la implementació de la lògica de deduplicació comentada anteriorment.
  • Retenció de Dades Configurable: Amb Didit, controleu quant de temps es conserven les dades de verificació. Podeu establir polítiques de retenció de dades des d'1 mes fins a 10 anys, o fins i tot nul·la per a il·limitada, directament a la Consola de Negocis o mitjançant l'API. Això us permet complir els requisits de conformitat (com el GDPR) mentre gestioneu la vostra petjada de dades. Això també es relaciona amb com el vostre consumidor de webhook podria emmagatzemar i gestionar els registres d'esdeveniments.
  • KYC Bàsic Gratuït i Disseny Modular: Didit ofereix KYC Bàsic Gratuït, permetent-vos començar a construir i provar els vostres consumidors de webhook sense costos inicials. El nostre disseny modular significa que podeu integrar fàcilment productes específics de verificació d'identitat (com la verificació d'identitat per a comprovacions de documents, la vivacitat passiva i activa per a la prevenció del frau, o l'estimació d'edat per a la verificació d'edat) i rebre actualitzacions en temps real mitjançant webhooks.

Aprofitant el sistema de webhook robust i segur de Didit, els desenvolupadors poden centrar-se més en la lògica central de la seva aplicació i menys en les complexitats de protegir i dedupicar els esdeveniments entrants, el que condueix a fluxos de treball de verificació d'identitat més resilients i fiables.

Preparat per Començar?

Preparat per veure Didit en acció? Obteniu una demostració gratuïta avui.

Comenceu a verificar identitats de forma gratuïta amb el pla gratuït de Didit.

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
Consumidors Idempotents de Webhooks amb Rails per a Didit.