Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 6. März 2026

Sichere Webhook-Middleware für Didit mit AWS Lambda erstellen (DE)

Erfahren Sie, wie Sie eine robuste und sichere API Gateway-Middleware für Didits Webhooks mit AWS Lambda aufbauen. Dieser Leitfaden behandelt Signaturprüfung, Zeitstempelvalidierung und asynchrone Verarbeitung, um.

Von DiditAktualisiert
aws-lambda-api-gateway-didit-webhooks.png

Sichere Webhook-Erfassung Die Implementierung von HMAC-SHA256-Signaturprüfung und Zeitstempelvalidierung ist entscheidend, um Didit-Webhooks vor Manipulation und Replay-Angriffen zu schützen und die Datenintegrität und -authentizität zu gewährleisten.

Asynchrone Verarbeitungsarchitektur Die Nutzung von AWS Lambda und SQS entkoppelt die Webhook-Erfassung von der Verarbeitung, was die Skalierbarkeit und Zuverlässigkeit verbessert und komplexe nachgelagerte Logik ohne Beeinträchtigung der Echtzeitreaktionen ermöglicht.

Echtzeit-Identitätsaktualisierungen Didits Webhooks bieten sofortige Benachrichtigungen über die Ergebnisse der Identitätsprüfung, wodurch sofortige Aktualisierungen von Benutzerstatus, Betrugswarnungen oder Compliance-Aufzeichnungen in Ihrer Anwendung ermöglicht werden.

Didits Entwickler-Erster-Ansatz Didit bietet eine modulare Architektur und saubere APIs, die die Integration von Echtzeit-Identitätsprüfungsergebnissen in Ihre Systeme vereinfachen, zusätzlich verstärkt durch ein kostenloses Core-KYC-Angebot und keine Einrichtungsgebühren.

Die Bedeutung einer sicheren Webhook-Verarbeitung

In der heutigen vernetzten digitalen Landschaft ist der Echtzeit-Datenaustausch von größter Bedeutung, insbesondere für kritische Funktionen wie die Identitätsprüfung. Webhooks dienen als Rückgrat für diese Echtzeitbenachrichtigungen und ermöglichen es Diensten wie Didit, Ihre Anwendung sofort über das Ergebnis einer Identitätsprüfung, eines AML-Screening-Ergebnisses oder eines Liveness-Erkennungsstatus zu informieren. Das bloße Empfangen von Daten reicht jedoch nicht aus; die Gewährleistung ihrer Authentizität, Integrität und zeitnahen Verarbeitung ist entscheidend. Ein unsicherer Webhook-Endpunkt kann eine erhebliche Schwachstelle darstellen, die anfällig für Datenmanipulation, Replay-Angriffe oder Denial-of-Service-Versuche ist. Hier wird eine gut konzipierte API Gateway-Middleware, insbesondere für Didits Webhooks, unverzichtbar.

Wenn Didit eine ID-Verifizierung, eine passive und aktive Liveness-Prüfung, einen 1:1-Gesichtsabgleich oder ein AML-Screening abgeschlossen hat, sendet es einen Webhook an Ihren konfigurierten Endpunkt. Diese Benachrichtigung enthält wichtige Informationen über den Verifizierungsstatus. Ohne geeignete Sicherheitsmaßnahmen könnten böswillige Akteure diese Benachrichtigungen fälschen, was zu falschen Entscheidungen bei der Benutzeraufnahme oder zu betrügerischen Aktivitäten führen könnte. Zum Beispiel könnte ein gefälschter Status „verifiziert“ einem böswilligen Akteur Zugang gewähren, während ein gefälschter Status „fehlgeschlagen“ dazu führen könnte, dass legitime Benutzer blockiert werden. Daher ist die Einrichtung eines sicheren und robusten Webhook-Empfangsmechanismus nicht nur eine gute Praxis; sie ist eine Notwendigkeit, um die Sicherheit und Compliance Ihrer Plattform zu gewährleisten.

Aufbau einer robusten Middleware mit AWS Lambda & API Gateway

Um Didits Webhooks effektiv und sicher zu verarbeiten, können wir die Leistungsfähigkeit von AWS Lambda und API Gateway nutzen, um eine Serverless-Middleware zu erstellen. Diese Architektur bietet Skalierbarkeit, Kosteneffizienz und hohe Verfügbarkeit, perfekt geeignet für ereignisgesteuerte Datenverarbeitung. Die Kernidee ist, API Gateway als Einstiegspunkt zu verwenden, das Anfragen an eine Lambda-Funktion weiterleitet, die für die anfängliche Validierung und sichere Verarbeitung zuständig ist.

Schritt 1: API Gateway als Einstiegspunkt einrichten

Ihr AWS API Gateway wird einen öffentlichen Endpunkt (z. B. /api/webhooks/didit) bereitstellen, an den Didit seine Webhooks sendet. Es ist entscheidend, diesen Endpunkt so zu konfigurieren, dass er POST-Anfragen akzeptiert und ihn mit Ihrer Lambda-Funktion integriert. Im Gegensatz zu herkömmlichen Setups sollte das API Gateway so konfiguriert werden, dass es den rohen Anfragetext direkt an Lambda weiterleitet, ohne sofortige JSON-Analyse. Dies liegt daran, dass die Signaturprüfung die genaue, von Didit gesendete Roh-Payload erfordert.

Schritt 2: Implementierung der sicheren Validierung in AWS Lambda

Die Lambda-Funktion ist das Herzstück Ihrer Middleware. Nach Erhalt eines Webhooks muss sie mehrere kritische Validierungsschritte durchführen, bevor die Daten verarbeitet werden:

  1. Rohen Anfragetext lesen: Die Lambda-Funktion muss auf den rohen Anfragetext zugreifen. Dies ist für die HMAC-SHA256-Signaturprüfung unerlässlich.
  2. HMAC-SHA256-Signatur überprüfen: Didits Webhooks enthalten einen X-Signature-Header, der eine HMAC-SHA256-Signatur enthält. Ihre Lambda-Funktion verwendet Ihr Webhook-Geheimnis (das zwischen Ihrer Anwendung und Didit geteilt wird), um ihre eigene Signatur aus dem rohen Anfragetext zu berechnen. Stimmt die berechnete Signatur nicht mit dem X-Signature-Header überein, ist der Webhook ungültig und sollte sofort abgelehnt werden. Dies schützt vor Datenmanipulation.
  3. Zeitstempel validieren: Didit enthält auch einen X-Timestamp-Header. Ihre Lambda-Funktion sollte überprüfen, ob dieser Zeitstempel aktuell ist, typischerweise innerhalb eines 5-Minuten-Fensters der aktuellen Zeit. Dies verhindert Replay-Angriffe, bei denen ein Angreifer ein altes, legitimes Webhook-Ereignis erneut senden könnte.
  4. JSON-Body parsen: Erst nach erfolgreicher Signatur- und Zeitstempelprüfung sollte der rohe Body in ein JSON-Objekt geparst werden.

Hier ist ein konzeptioneller Python-Snippet zur Signaturprüfung innerhalb Ihrer Lambda-Funktion:


import hmac
import hashlib
import time
import json

def verify_webhook_signature(body, headers, secret):
    signature_header = headers.get('X-Signature')
    timestamp_header = headers.get('X-Timestamp')

    if not signature_header or not timestamp_header:
        return False, "Missing signature or timestamp header"

    # Check timestamp for freshness (e.g., within 5 minutes)
    current_time = int(time.time())
    event_timestamp = int(timestamp_header)
    if abs(current_time - event_timestamp) > 300: # 300 seconds = 5 minutes
        return False, "Webhook timestamp too old or too far in future"

    # Reconstruct the signed payload
    signed_payload = f"v1:{timestamp_header}:{body}"

    # Compute HMAC signature
    expected_signature = hmac.new(
        secret.encode('utf-8'),
        signed_payload.encode('utf-8'),
        hashlib.sha256
    ).hexdigest()

    # Compare signatures in a secure way (constant time comparison)
    if hmac.compare_digest(signature_header, expected_signature):
        return True, "Signature valid"
    else:
        return False, "Signature mismatch"

# In your Lambda handler:
def lambda_handler(event, context):
    body = event['body'] # Raw request body
    headers = event['headers']
    webhook_secret = "YOUR_DIDIT_WEBHOOK_SECRET" # Store securely, e.g., in AWS Secrets Manager

    is_valid, message = verify_webhook_signature(body, headers, webhook_secret)

    if not is_valid:
        print(f"Webhook validation failed: {message}")
        return {
            'statusCode': 403,
            'body': json.dumps({'message': 'Unauthorized'})
        }

    # If valid, parse JSON and proceed with processing
    payload = json.loads(body)
    # ... process payload ...

    return {
        'statusCode': 200,
        'body': json.dumps({'message': 'Webhook received and processed'})
    }

Asynchrone Verarbeitung für Skalierbarkeit und Zuverlässigkeit

Nach der Validierung des Webhooks ist es im Allgemeinen Best Practice, den Ingestion-Prozess von der eigentlichen Geschäftslogik zu entkoppeln. Das bedeutet, dass Ihre Lambda-Funktion nach der Validierung keine komplexen Datenbankoperationen oder externen API-Aufrufe direkt ausführen sollte. Stattdessen sollte sie die validierte Payload einfach an eine asynchrone Verarbeitungswarteschlange, wie z. B. AWS SQS (Simple Queue Service), weiterleiten.

Diese Architektur bietet mehrere Vorteile:

  • Skalierbarkeit: Ihr API Gateway und die anfängliche Lambda-Funktion können ein hohes Volumen eingehender Webhooks verarbeiten, ohne durch nachgelagerte Verarbeitung ausgebremst zu werden.
  • Zuverlässigkeit: Wenn Ihre nachgelagerten Systeme vorübergehend nicht verfügbar sind, bleiben die Nachrichten in der Warteschlange, wodurch Datenverlust verhindert wird.
  • Entkopplung: Verschiedene Lambda-Funktionen oder Dienste können Nachrichten aus der SQS-Warteschlange verarbeiten, was eine modulare und unabhängige Entwicklung und Bereitstellung Ihrer Geschäftslogik ermöglicht (z. B. Aktualisierung von Benutzerdaten, Auslösen von AML-Warnungen oder Protokollierung von Verifizierungsergebnissen).
  • Schnelle Antworten: Der anfängliche Webhook-Endpunkt kann schnell antworten (z. B. mit einem 200 OK), wodurch Didit nicht unnötigerweise den Webhook wiederholt.

Dies stellt sicher, dass, egal ob Sie eine ID-Verifizierung durchführen, NFC-Verifizierung für ePassports verwenden oder Alterschätzung für Compliance nutzen, die Ergebnisse effizient und zuverlässig verarbeitet werden.

Wie Didit hilft

Didit ist eine KI-native, entwicklerorientierte Identitätsplattform, die auf Modularität und einfache Integration ausgelegt ist. Unsere Webhooks sind ein Paradebeispiel für diese Philosophie und bieten Echtzeit- und sichere Benachrichtigungen über den Status Ihrer Identitätsverifizierungs-Workflows. Durch das Angebot einer sauberen API und einer umfassenden Dokumentation macht Didit es einfach, diese Webhooks einzurichten und in Ihre benutzerdefinierte Middleware, wie die oben beschriebene AWS Lambda- und API Gateway-Lösung, zu integrieren.

Didits Plattform unterstützt eine breite Palette von Identitätsverifizierungs-Primitiven, darunter ID-Verifizierung (OCR, MRZ, Barcodes), Passive & Aktive Liveness, 1:1 Face Match & Face Search, AML Screening & Monitoring, Adressnachweis, Alterschätzung, Telefon- & E-Mail-Verifizierung und NFC-Verifizierung. Die Ergebnisse all dieser Prüfungen können über unsere sicheren Webhooks geliefert werden, sodass Sie hochresponsive und automatisierte Systeme aufbauen können. Darüber hinaus bietet Didit Free Core KYC, eine modulare Architektur und keine Einrichtungsgebühren, was es zu einer zugänglichen und leistungsstarken Wahl für Unternehmen jeder Größe macht, die Vertrauen automatisieren und Risiken orchestrieren möchten.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Holen Sie sich noch heute eine kostenlose Demo.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
Sichere Didit Webhook-Middleware mit AWS Lambda.