Webhooks mit Cloudflare Workers absichern: Ein Didit Integrationsleitfaden (DE)

Verbesserte Sicherheit mit Cloudflare WorkersCloudflare Workers bieten eine ideale serverlose Umgebung für die sichere Verarbeitung von Webhooks und gewährleisten Edge-Level-Schutz und effiziente Signaturprüfung.

HMAC-Signaturprüfung ist entscheidendÜberprüfen Sie immer die HMAC-SHA256-Signatur eingehender Webhooks, um deren Authentizität und Integrität sicherzustellen und unbefugte Dateneinschleusung oder Manipulation zu verhindern.

Zeitstempelvalidierung mindert Replay-AngriffeImplementieren Sie Zeitstempelprüfungen, um sicherzustellen, dass Webhook-Anfragen aktuell sind, und schützen Sie sich so vor Replay-Angriffen, bei denen alte, legitime Anfragen von böswilligen Akteuren erneut gesendet werden.

Didit vereinfacht die sichere IdentitätsprüfungDie KI-native Plattform von Didit bietet robuste Echtzeit-Webhook-Benachrichtigungen für alle Identitätsprüfungsprodukte und gewährleistet eine sichere und zuverlässige Datenbereitstellung für Ihre Anwendungen.

In der heutigen vernetzten digitalen Landschaft sind Webhooks ein Eckpfeiler der Echtzeitkommunikation zwischen Diensten. Sie ermöglichen sofortige Benachrichtigungen für Ereignisse wie Ergebnisse der Identitätsprüfung, Zahlungsbestätigungen und Benutzeraktivitäten. Die Bequemlichkeit von Webhooks birgt jedoch eine kritische Sicherheitsherausforderung: die Sicherstellung der Authentizität und Integrität der empfangenen Daten. Ohne geeignete Schutzmaßnahmen könnte Ihre Anwendung anfällig für Spoofing, Manipulation oder Replay-Angriffe sein.

Dieser Leitfaden führt Sie durch die Erstellung eines sicheren Webhook-Endpunkts für die Didit-Identitätsprüfung mithilfe von Cloudflare Workers. Cloudflare Workers bieten eine leistungsstarke, serverlose Plattform am Edge, die sich ideal für die Verarbeitung und Sicherung von Webhooks mit minimaler Latenz und maximaler Zuverlässigkeit eignet. Didit, als KI-native Identitätsplattform, verlässt sich auf sichere Webhooks, um Echtzeit-KYC-Benachrichtigungen zu liefern, was diese Integration für jedes Unternehmen, das Didits robuste Identitätsprüfungslösungen nutzt, entscheidend macht.

Warum Sie Ihre Webhooks absichern sollten

Stellen Sie sich vor, Sie erhalten eine Webhook-Benachrichtigung, die fälschlicherweise behauptet, ein Benutzer habe die ID-Verifizierung bestanden, obwohl er in Wirklichkeit gescheitert ist. Oder vielleicht spielt ein böswilliger Akteur einen alten, legitimen Webhook erneut ab, um eine Aktion in Ihrem System mehrmals auszulösen. Diese Szenarien verdeutlichen die kritische Notwendigkeit der Webhook-Sicherheit.

Die Hauptbedrohungen für Webhook-Endpunkte umfassen:

• Spoofing: Ein Angreifer sendet einen gefälschten Webhook, der vorgibt, Didit zu sein, um Ihr System dazu zu bringen, unautorisierte Aktionen auszuführen.
• Manipulation: Ein Angreifer fängt einen legitimen Webhook ab und ändert dessen Payload, bevor er Ihren Server erreicht.
• Replay-Angriffe: Ein Angreifer erfasst einen legitimen Webhook und sendet ihn später erneut, um dieselbe Aktion erneut auszulösen, was möglicherweise zu doppelten Transaktionen oder anderen Problemen führt.

Die Absicherung Ihrer Webhooks beinhaltet die Überprüfung der Identität des Absenders und die Sicherstellung, dass die Daten nicht verändert wurden. Didit bietet hierfür einen robusten Mechanismus durch HMAC-SHA256-Signaturen und Zeitstempelvalidierung, die wir in unserem Cloudflare Worker implementieren werden.

Einrichten Ihres Didit Webhook-Geheimnisses

Bevor Sie Didit-Webhooks überprüfen können, benötigen Sie Ihren einzigartigen Webhook Secret Key. Dieser Schlüssel ist für die kryptographische Signaturprüfung von größter Bedeutung. So rufen Sie ihn ab:

1. Melden Sie sich bei Ihrer Didit Konsole an.
2. Navigieren Sie zu Einstellungen → API-Schlüssel.
3. Kopieren Sie Ihren Webhook Secret Key.

Dieser geheime Schlüssel sollte sicher gespeichert und niemals öffentlich zugänglich gemacht werden. Für Cloudflare Workers ist es am besten, ihn als Worker-Geheimnis oder Umgebungsvariable zu speichern.

Einen sicheren Cloudflare Worker für Didit Webhooks erstellen

Cloudflare Workers sind JavaScript-, TypeScript- oder WebAssembly-Anwendungen, die auf dem globalen Netzwerk von Cloudflare in der Nähe Ihrer Benutzer ausgeführt werden. Dies macht sie unglaublich schnell und skalierbar für die Verarbeitung eingehender Webhook-Anfragen. Hier ist eine Schritt-für-Schritt-Anleitung zur Erstellung eines Workers, der Didit-Webhooks sicher verarbeitet.

1. Erstellen Sie Ihren Cloudflare Worker

Richten Sie zunächst ein neues Cloudflare Worker-Projekt ein. Dies können Sie mit dem wrangler CLI-Tool tun:

npx wrangler generate didit-webhook-handler
cd didit-webhook-handler

2. Fügen Sie Ihr Didit Webhook-Geheimnis als Cloudflare-Geheimnis hinzu

Um Ihr Webhook-Geheimnis sicher aufzubewahren, fügen Sie es als Geheimnis zu Ihrem Worker hinzu:

npx wrangler secret put DIDIT_WEBHOOK_SECRET

Wenn Sie dazu aufgefordert werden, fügen Sie Ihren Webhook Secret Key aus der Didit-Konsole ein.

3. Webhook-Logik in index.js implementieren

Die index.js-Datei Ihres Workers enthält die Logik zum Empfangen, Validieren und Verarbeiten von Didit-Webhooks. Die Kernschritte sind:

1. Roher Anfragetext lesen: Die HMAC-Signatur wird aus dem rohen Anfragetext generiert, daher ist es entscheidend, ihn vor der Verifizierung nicht zu parsen.
2. HMAC-SHA256-Signatur überprüfen: Vergleichen Sie die im X-Signature-Header bereitgestellte Signatur mit einer Signatur, die Sie mithilfe Ihres DIDIT_WEBHOOK_SECRET und des rohen Anfragetexts generieren.
3. Zeitstempel validieren: Überprüfen Sie den X-Timestamp-Header, um sicherzustellen, dass die Anfrage aktuell ist (z. B. innerhalb von 5 Minuten), um Replay-Angriffe zu verhindern.
4. JSON parsen und verarbeiten: Wenn die Verifizierung erfolgreich ist, parsen Sie den JSON-Body und bearbeiten Sie das Ergebnis der Identitätsprüfung.

Hier ist ein einfaches Beispiel für den Worker-Code:

import { createHmac } from 'crypto'; // Cloudflare Workers stellen das 'crypto'-Modul bereit

export default {
  async fetch(request, env, ctx) {
    if (request.method !== 'POST') {
      return new Response('Method Not Allowed', { status: 405 });
    }

    const diditWebhookSecret = env.DIDIT_WEBHOOK_SECRET;
    if (!diditWebhookSecret) {
      return new Response('Webhook-Geheimnis nicht konfiguriert', { status: 500 });
    }

    const signature = request.headers.get('X-Signature');
    const timestamp = request.headers.get('X-Timestamp');
    const rawBody = await request.text();

    if (!signature || !timestamp || !rawBody) {
      return new Response('Fehlende erforderliche Webhook-Header oder -Body', { status: 400 });
    }

    // 1. Zeitstempel validieren (z.B. innerhalb von 5 Minuten)
    const FIVE_MINUTES_IN_SECONDS = 300;
    const currentTimestamp = Math.floor(Date.now() / 1000);
    if (Math.abs(currentTimestamp - parseInt(timestamp, 10)) > FIVE_MINUTES_IN_SECONDS) {
      return new Response('Webhook-Zeitstempel zu alt oder in der Zukunft', { status: 403 });
    }

    // 2. HMAC-SHA256-Signatur überprüfen
    const expectedSignature = createHmac('sha256', diditWebhookSecret)
      .update(`${timestamp}.${rawBody}`)
      .digest('hex');

    if (expectedSignature !== signature) {
      return new Response('Ungültige Webhook-Signatur', { status: 403 });
    }

    // 3. Den Webhook-Payload verarbeiten
    try {
      const payload = JSON.parse(rawBody);
      // Payload protokollieren oder verarbeiten, z.B. Benutzerstatus in Ihrer Datenbank aktualisieren
      console.log('Didit-Webhook empfangen:', payload);

      // Beispiel: Zugriff auf den Verifizierungsstatus
      if (payload.event === 'session.completed' && payload.data.status === 'approved') {
        console.log(`Benutzer ${payload.data.vendor_data} erfolgreich verifiziert.`);
        // Weitere Aktionen auslösen, wie Zugriff gewähren oder Benutzerprofil aktualisieren
      }
      // Didit bietet verschiedene Produkte wie ID-Verifizierung, Passive & Aktive Liveness und AML-Screening.
      // Der Webhook-Payload spiegelt die Ergebnisse dieser Prüfungen wider.

      return new Response('Webhook erfolgreich verarbeitet', { status: 200 });
    } catch (error) {
      console.error('Fehler beim Parsen des Webhook-Bodys:', error);
      return new Response('Fehler beim Parsen des JSON-Payloads', { status: 400 });
    }
  },
};

4. Stellen Sie Ihren Worker bereit

Sobald Ihr Code fertig ist, stellen Sie ihn bei Cloudflare bereit:

npx wrangler deploy

Nach der Bereitstellung stellt Cloudflare Ihnen eine URL für Ihren Worker zur Verfügung. Dies ist der Endpunkt, den Sie in Ihrer Didit-Konsole für den Empfang von Webhooks konfigurieren werden.

Didit zum Senden von Webhooks konfigurieren

Nachdem Ihr sicherer Cloudflare Worker bereitgestellt wurde, besteht der letzte Schritt darin, Didit mitzuteilen, wohin Ihre Echtzeit-Benachrichtigungen gesendet werden sollen:

1. Gehen Sie zurück zu Ihrer Didit Konsole.
2. Navigieren Sie zu Workflows und wählen Sie den Workflow aus, den Sie konfigurieren möchten (z. B. Ihren KYC-Workflow, der Didits ID-Verifizierung sowie passive und aktive Liveness verwendet).
3. Suchen Sie in den Workflow-Einstellungen die Webhook-URL-Konfiguration.
4. Geben Sie die URL Ihres bereitgestellten Cloudflare Workers ein.
5. Speichern Sie Ihre Änderungen.

Immer wenn eine Identitätsprüfungssitzung abgeschlossen wird oder ihr Status sich ändert, sendet Didit eine sichere Webhook-Benachrichtigung an Ihren Cloudflare Worker, der diese dann validiert und verarbeitet.

Wie Didit hilft

Didit wurde mit Sicherheit und Entwicklerfreundlichkeit im Mittelpunkt entwickelt. Unsere KI-native Identitätsplattform bietet eine modulare Architektur, die es Ihnen ermöglicht, komplexe Verifizierungsabläufe einfach zu erstellen. Wenn es um Webhooks geht, vereinfacht Didit den Prozess durch:

• Bereitstellung sicherer Webhook-Benachrichtigungen: Alle Didit-Webhooks sind mit einer HMAC-SHA256-Signatur versehen und enthalten einen Zeitstempel, der die Authentizität und Integrität der von Ihnen empfangenen Daten gewährleistet. Dies ist entscheidend für Produkte wie ID-Verifizierung, 1:1-Gesichtsabgleich und AML-Screening, bei denen die Datengenauigkeit von größter Bedeutung ist.
• Echtzeit-Updates: Erhalten Sie sofortige Benachrichtigungen für jede Phase des Verifizierungsprozesses, sodass Ihre Anwendung sofort auf Benutzerverifizierungsergebnisse reagieren kann.
• Umfassende Daten: Webhook-Payloads enthalten alle notwendigen Details zur Verifizierungssitzung, einschließlich der Ergebnisse verschiedener Didit-Produkte wie Passive & Aktive Liveness, Telefon- & E-Mail-Verifizierung und Adressnachweis.
• Entwicklerzentrierter Ansatz: Didit bietet eine sofortige Sandbox, klare öffentliche Dokumentation und saubere APIs, die die Integration unkompliziert machen. Unser Free Core KYC-Tier und das Pay-per-erfolgreiche-Prüfung-Modell ohne Einrichtungsgebühren erleichtern den Einstieg und die Skalierung.

Durch die Integration von Didit-Webhooks mit einem sicheren Cloudflare Worker schaffen Sie einen belastbaren und vertrauenswürdigen Kanal für Echtzeit-Updates zur Identitätsprüfung und schützen so Ihr Unternehmen und Ihre Benutzer.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.