Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 6. März 2026

Sichere Didit API-Zugriffe mit JWTs und Microservices (DE)

Erfahren Sie, wie Sie Ihren API-Zugriff auf Didits leistungsstarke Identitätsverifizierungsplattform mithilfe von JSON Web Tokens (JWTs) und robusten Microservice-Mustern absichern können.

Von DiditAktualisiert
securing-didit-api-access-jwts-microservices.png

Robuste Authentifizierung mit JWTsJSON Web Tokens (JWTs) bieten eine sichere, zustandslose und skalierbare Methode zur Authentifizierung von Microservices, die mit der Didit-API interagieren. Sie stellen sicher, dass jede Anfrage ordnungsgemäß autorisiert wird, ohne sich auf sitzungsbasierte Zustände zu verlassen.

Microservice-Architektur für verbesserte SicherheitDie Implementierung von Microservice-Mustern für den API-Zugriff ermöglicht eine granulare Kontrolle über Berechtigungen, die Isolierung sensibler Vorgänge und eine verbesserte Widerstandsfähigkeit gegen Sicherheitsverletzungen.

Sichere Verwaltung von API-SchlüsselnAPI-Schlüssel, wie sie von Didit bereitgestellt werden, sind entscheidend für den anfänglichen Zugriff und sollten mit größter Sorgfalt behandelt, sicher gespeichert und regelmäßig rotiert werden, um Risiken zu minimieren.

Didits entwicklerfreundlicher Ansatz vereinfacht die IntegrationDidit bietet eine entwicklerfreundliche Plattform mit programmatischer Anmeldung, klarer API-Dokumentation und einer modularen Architektur, die die Integration sicherer Authentifizierungs- und Autorisierungsmuster für Identitätsverifizierungsworkflows vereinfacht.

In der heutigen vernetzten digitalen Landschaft ist die Absicherung des API-Zugriffs von größter Bedeutung, insbesondere wenn es um sensible Daten zur Identitätsprüfung geht. Da Unternehmen zunehmend Microservice-Architekturen einführen und sich für die Identitätsprüfung auf externe Dienste wie Didit verlassen, werden robuste Authentifizierungs- und Autorisierungsmechanismen unerlässlich. Dieser Blogbeitrag erläutert, wie JSON Web Tokens (JWTs) und Microservice-Muster genutzt werden können, um Ihre Interaktionen mit der Didit-API zu sichern und so die Datenintegrität und Compliance zu gewährleisten.

Die Bedeutung eines sicheren API-Zugriffs für die Identitätsprüfung

Die Identitätsprüfung beinhaltet den Umgang mit hochsensiblen persönlichen Informationen. Jeder Kompromittierung des API-Zugriffs könnte zu schwerwiegenden Datenlecks, regulatorischen Strafen und einem Vertrauensverlust der Kunden führen. Daher ist die Implementierung strenger Sicherheitsmaßnahmen nicht nur eine Best Practice, sondern eine Notwendigkeit. Didit, als KI-native Identitätsplattform, verarbeitet kritische Daten für Dienste wie ID-Verifizierung, passive und aktive Lebenderkennung sowie AML-Screening. Die Sicherstellung, dass nur autorisierte Microservices auf diese Daten zugreifen können, ist grundlegend für die Aufrechterhaltung eines sicheren Ökosystems.

Traditionelle Authentifizierungsmethoden wie die Basis-Authentifizierung oder Session-Cookies können in einer Microservice-Umgebung aufgrund ihres zustandsbehafteten Charakters und potenzieller Skalierbarkeitsprobleme Herausforderungen darstellen. Hier glänzen JWTs, indem sie ein zustandsloses, eigenständiges und kryptografisch signiertes Token für Authentifizierung und Autorisierung bieten.

Nutzung von JSON Web Tokens (JWTs) für die API-Authentifizierung

JWTs sind eine offene, industriestandardmäßige RFC 7519-Methode zur sicheren Darstellung von Claims zwischen zwei Parteien. Sie eignen sich besonders gut für Microservice-Architekturen, weil sie:

  • Zustandslos sind: Der Server muss keine Sitzungsinformationen speichern. Jedes JWT enthält alle notwendigen Informationen, wodurch die Serverlast reduziert und die Skalierbarkeit verbessert wird.
  • Eigenständig sind: JWTs enthalten Informationen über den Benutzer und die Berechtigungen, wodurch die Notwendigkeit mehrerer Datenbankabfragen für jeden API-Aufruf entfällt.
  • Kryptografisch signiert sind: Die Signatur stellt sicher, dass das Token nicht manipuliert wurde, und bietet Integrität und Authentizität.

Bei der Interaktion mit der Didit-API kann Ihr Microservice über eine programmatische Anmeldung ein Zugriffstoken erhalten. Die Didit Auth API ermöglicht die programmatische Anmeldung mit E-Mail und Passwort für API-Konten und gibt Zugriffs- und Aktualisierungstoken direkt zurück. Dieser Prozess ist agentenfreundlich gestaltet und ermöglicht eine nahtlose Integration ohne browserbasierte Interaktionen. Das zurückgegebene access_token wird dann im Authorization-Header nachfolgender API-Anfragen an Didit eingefügt, wodurch der Zugriff auf bestimmte Funktionalitäten basierend auf den im Token eingebetteten Claims gewährt wird.

Nach einer erfolgreichen programmatischen Anmeldung könnten Sie beispielsweise ein access_token erhalten, das Ihrem Microservice die Berechtigung erteilt, ID-Verifizierungssitzungen zu initiieren oder Ergebnisse aus dem AML-Screening abzurufen. Die im Token-Response enthaltene Ablaufzeit (expires_in) bestimmt, wie lange das Token gültig ist, was einen Aktualisierungsmechanismus unter Verwendung des refresh_token erfordert, um einen kontinuierlichen Zugriff aufrechtzuerhalten.

Microservice-Muster für verbesserte Sicherheit und Skalierbarkeit

Die Einführung von Microservice-Mustern verbessert die API-Sicherheit erheblich, indem sie Modularität und Isolation fördert. Anstelle einer monolithischen Anwendung mit einem einzigen Fehlerpunkt ermöglichen Microservices die Trennung verschiedener Funktionalitäten, wobei jeweils spezifische Sicherheitsrichtlinien angewendet werden. Hier sind einige wichtige Muster:

  • API Gateway: Ein API Gateway fungiert als einziger Einstiegspunkt für alle API-Anfragen und leitet diese an den entsprechenden Microservice weiter. Es kann die Authentifizierung, Ratenbegrenzung und Anforderungsvalidierung vor dem Weiterleiten von Anfragen übernehmen und so eine entscheidende Sicherheitsebene hinzufügen.
  • Service-to-Service-Authentifizierung: Wenn Microservices intern kommunizieren müssen, sollten sie sich ebenfalls gegenseitig authentifizieren und autorisieren. Dies beinhaltet oft die Verwendung interner JWTs oder anderer sicherer Tokens.
  • Prinzip der geringsten Privilegien: Jeder Microservice sollte nur die Berechtigungen besitzen, die zur Ausführung seiner zugewiesenen Aufgaben erforderlich sind. Beispielsweise sollte ein Microservice, der für die Initiierung der ID-Verifizierung zuständig ist, keinen Zugriff auf sensible Kundendatenbanken haben und umgekehrt.
  • Geheimnisverwaltung: API-Schlüssel, Datenbankanmeldeinformationen und andere sensible Informationen sollten in einem dedizierten Geheimnisverwaltungssystem (z.B. HashiCorp Vault, AWS Secrets Manager) gespeichert werden, anstatt fest im Anwendungscode zu stehen.

Didits Architektur passt perfekt zu diesen Mustern. Ihre modulare Natur bedeutet, dass Sie spezifische Identitäts-Primitive – wie ID-Verifizierung, passive und aktive Lebenderkennung oder NFC-Verifizierung – in dedizierte Microservices integrieren können. Dies ermöglicht den Aufbau hochsicherer und skalierbarer Workflows. Beispielsweise könnte ein Microservice das anfängliche Benutzer-Onboarding (mithilfe der Didit ID-Verifizierung) übernehmen, während ein anderer regelmäßig Compliance-Prüfungen durchführt (mithilfe des Didit AML-Screenings und Monitorings).

Sichere Verwaltung von API-Schlüsseln und Anmeldeinformationen

Während JWTs die laufende Authentifizierung übernehmen, beinhaltet der anfängliche Zugriff auf die Didit-API, insbesondere für die programmatische Registrierung und E-Mail-Verifizierung, oft API-Schlüssel und Client-IDs. Didits Endpunkt für die programmatische E-Mail-Verifizierung gibt beispielsweise nach erfolgreicher Verifizierung nicht nur Zugriffstoken, sondern auch einen api_key und eine client_id zurück. Diese Anmeldeinformationen sind von entscheidender Bedeutung.

Best Practices für die Verwaltung dieser Anmeldeinformationen umfassen:

  • Sichere Speicherung: API-Schlüssel niemals direkt im Code hinterlegen. Verwenden Sie Umgebungsvariablen, Konfigurationsmanagement-Tools oder dedizierte Dienste zur Geheimnisverwaltung.
  • Rotation: Rotieren Sie Ihre API-Schlüssel regelmäßig. Wenn ein Schlüssel kompromittiert wird, begrenzt eine häufige Rotation das Risiko.
  • Prinzip der geringsten Privilegien: Stellen Sie sicher, dass der von einem Microservice verwendete API-Schlüssel nur die Berechtigungen besitzt, die für seine spezifischen Aufgaben erforderlich sind.
  • Überwachung: Überwachen Sie die API-Schlüsselnutzung auf anomale Aktivitäten, die auf eine Kompromittierung hindeuten könnten.

Didits entwicklerfreundlicher Ansatz vereinfacht dies, indem er eine klare Dokumentation zur sicheren Beschaffung und Verwendung dieser Anmeldeinformationen bereitstellt, wodurch es für Entwickler einfacher wird, robuste Sicherheitspraktiken von Anfang an zu integrieren.

Wie Didit hilft

Didit wurde als KI-native, entwicklerfreundliche Identitätsplattform entwickelt, die die Integration einer sicheren Verifizierung in Ihre Microservice-Architektur unglaublich einfach macht. Unsere Plattform basiert auf offenen, modularen Identitäts-Primitiven, die es Ihnen ermöglichen, Verifizierungs-Workflows präzise an Ihre Bedürfnisse anzupassen. Mit Didit erhalten Sie:

  • Programmatischen API-Zugriff: Unsere Auth API ermöglicht die programmatische Anmeldung und den Abruf von Anmeldeinformationen (client_id, api_key, access_token) ohne menschliches Eingreifen, ideal für automatisierte Microservice-Bereitstellungen.
  • Modulare und zusammensetzbare Dienste: Integrieren Sie spezifische Identitätsprüfungen wie ID-Verifizierung, passive und aktive Lebenderkennung, 1:1-Gesichtsabgleich, AML-Screening und -Überwachung oder Altersschätzung nach Bedarf, um eine granulare Kontrolle über Datenzugriff und -verarbeitung zu erhalten.
  • Entwicklerfreundliches Ökosystem: Eine sofortige Sandbox, umfassende öffentliche Dokumentation und saubere APIs stellen sicher, dass die Absicherung Ihrer Integration unkompliziert und effizient ist.
  • Kostenloses Core KYC: Beginnen Sie mit dem Aufbau und Testen Ihrer sicheren Microservice-Integrationen mit Didits kostenlosem Core KYC, sodass Sie robuste Sicherheitsmuster ohne Vorabkosten implementieren können.
  • Keine Einrichtungsgebühren: Unser transparentes Preismodell bedeutet, dass Sie nur für erfolgreiche Verifizierungen bezahlen, was die Einstiegshürde für sichere, skalierbare Identitätslösungen weiter senkt.

Didit fungiert als Ihr Datenverarbeiter, und Sie bleiben der Datenverantwortliche, wodurch Sie die volle Kontrolle über die Datenaufbewahrungsrichtlinien haben. Sie können Aufbewahrungsfristen von 1 Monat bis 10 Jahren konfigurieren oder sogar einzelne Sitzungen direkt über die Business Console manuell löschen, um Ihre DSGVO- und lokalen Datenschutzverpflichtungen zu erfüllen.

Bereit zum Start?

Sind Sie bereit, Didit in Aktion zu sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
Didit API-Zugriff sichern: JWTs & Microservices.