Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 7 de marzo de 2026

Cree un Middleware Seguro para Webhooks de Didit con AWS Lambda (ES-1)

Aprenda a construir un middleware robusto y seguro para los webhooks de Didit usando AWS Lambda y API Gateway. Esta guía cubre la verificación de firma, validación de marca de tiempo y procesamiento asíncrono, asegurando la.

Por DiditActualizado el
aws-lambda-api-gateway-didit-webhooks.png

Ingesta Segura de Webhooks Implementar la verificación de firma HMAC-SHA256 y la validación de marca de tiempo es crucial para proteger los webhooks de Didit contra manipulaciones y ataques de repetición, garantizando la integridad y autenticidad de los datos.

Arquitectura de Procesamiento Asíncrono Aprovechar AWS Lambda y SQS desacopla la ingesta de webhooks del procesamiento, mejorando la escalabilidad, la fiabilidad y permitiendo una lógica compleja posterior sin afectar las respuestas en tiempo real.

Actualizaciones de Identidad en Tiempo Real Los webhooks de Didit proporcionan notificaciones instantáneas sobre los resultados de la verificación de identidad, permitiendo actualizaciones inmediatas de los estados de usuario, alertas de fraude o registros de cumplimiento dentro de su aplicación.

Enfoque Developer-First de Didit Didit ofrece una arquitectura modular y APIs limpias, lo que facilita la integración de resultados de verificación de identidad en tiempo real en sus sistemas, mejorado aún más por una oferta de KYC básica gratuita y sin tarifas de configuración.

La Importancia de un Manejo Seguro de Webhooks

En el panorama digital interconectado actual, el intercambio de datos en tiempo real es primordial, especialmente para funciones críticas como la verificación de identidad. Los webhooks sirven como la columna vertebral de estas notificaciones en tiempo real, permitiendo que servicios como Didit informen a su aplicación instantáneamente sobre el resultado de una verificación de identidad, un resultado de cribado AML o un estado de detección de vivacidad. Sin embargo, simplemente recibir datos no es suficiente; garantizar su autenticidad, integridad y procesamiento oportuno es vital. Un punto final de webhook inseguro puede ser una vulnerabilidad significativa, susceptible a la manipulación de datos, ataques de repetición o intentos de denegación de servicio. Aquí es donde un middleware de API Gateway bien diseñado, particularmente para los webhooks de Didit, se vuelve indispensable.

Cuando Didit completa una Verificación de ID, verificación de vivacidad pasiva y activa, coincidencia facial 1:1 o cribado AML, envía un webhook a su punto final configurado. Esta notificación contiene información crucial sobre el estado de la verificación. Sin las medidas de seguridad adecuadas, los actores maliciosos podrían falsificar estas notificaciones, lo que llevaría a decisiones incorrectas de incorporación de usuarios o actividades fraudulentas. Por ejemplo, un estado 'verificado' falsificado podría otorgar acceso a un actor malintencionado, mientras que un estado 'fallido' falsificado podría hacer que se bloqueen usuarios legítimos. Por lo tanto, establecer un mecanismo de recepción de webhooks seguro y robusto no es solo una buena práctica; es una necesidad para mantener la seguridad y el cumplimiento de su plataforma.

Construyendo un Middleware Robusto con AWS Lambda y API Gateway

Para manejar de manera efectiva y segura los webhooks de Didit, podemos aprovechar el poder de AWS Lambda y API Gateway para crear un middleware sin servidor. Esta arquitectura ofrece escalabilidad, rentabilidad y alta disponibilidad, perfectamente adecuada para el procesamiento de datos impulsado por eventos. La idea central es que API Gateway actúe como el punto de entrada, reenviando las solicitudes a una función Lambda responsable de la validación inicial y el procesamiento seguro.

Paso 1: Configuración de API Gateway como Punto de Entrada

Su AWS API Gateway expondrá un punto final público (por ejemplo, /api/webhooks/didit) al que Didit enviará sus webhooks. Es crucial configurar este punto final para aceptar solicitudes POST e integrarlo con su función Lambda. A diferencia de las configuraciones tradicionales, API Gateway debe configurarse para pasar el cuerpo de la solicitud sin procesar directamente a Lambda sin un análisis JSON inmediato. Esto se debe a que la verificación de la firma requiere la carga útil exacta sin procesar enviada por Didit.

Paso 2: Implementación de Validación Segura en AWS Lambda

La función Lambda es el corazón de su middleware. Al recibir un webhook, debe realizar varios pasos de validación críticos antes de procesar los datos:

  1. Leer el Cuerpo de la Solicitud sin Procesar: La función Lambda debe acceder al cuerpo de la solicitud sin procesar. Esto es esencial para la verificación de la firma HMAC-SHA256.
  2. Verificar Firma HMAC-SHA256: Los webhooks de Didit incluyen un encabezado X-Signature que contiene una firma HMAC-SHA256. Su función Lambda usará su secreto de webhook (compartido entre su aplicación y Didit) para calcular su propia firma a partir del cuerpo de la solicitud sin procesar. Si la firma calculada no coincide con el encabezado X-Signature, el webhook no es válido y debe rechazarse inmediatamente. Esto protege contra la manipulación de datos.
  3. Validar Marca de Tiempo: Didit también incluye un encabezado X-Timestamp. Su función Lambda debe verificar que esta marca de tiempo sea reciente, típicamente dentro de una ventana de 5 minutos de la hora actual. Esto evita ataques de repetición, donde un atacante podría reenviar un evento de webhook antiguo y legítimo.
  4. Analizar Cuerpo JSON: Solo después de una verificación exitosa de la firma y la marca de tiempo, el cuerpo sin procesar debe analizarse en un objeto JSON.

Aquí hay un fragmento de Python conceptual para la verificación de la firma dentro de su Lambda:


import hmac
import hashlib
import time
import json

def verify_webhook_signature(body, headers, secret):
    signature_header = headers.get('X-Signature')
    timestamp_header = headers.get('X-Timestamp')

    if not signature_header or not timestamp_header:
        return False, "Missing signature or timestamp header"

    # Check timestamp for freshness (e.g., within 5 minutes)
    current_time = int(time.time())
    event_timestamp = int(timestamp_header)
    if abs(current_time - event_timestamp) > 300: # 300 seconds = 5 minutes
        return False, "Webhook timestamp too old or too far in future"

    # Reconstruct the signed payload
    signed_payload = f"v1:{timestamp_header}:{body}"

    # Compute HMAC signature
    expected_signature = hmac.new(
        secret.encode('utf-8'),
        signed_payload.encode('utf-8'),
        hashlib.sha256
    ).hexdigest()

    # Compare signatures in a secure way (constant time comparison)
    if hmac.compare_digest(signature_header, expected_signature):
        return True, "Signature valid"
    else:
        return False, "Signature mismatch"

# In your Lambda handler:
def lambda_handler(event, context):
    body = event['body'] # Raw request body
    headers = event['headers']
    webhook_secret = "YOUR_DIDIT_WEBHOOK_SECRET" # Store securely, e.g., in AWS Secrets Manager

    is_valid, message = verify_webhook_signature(body, headers, webhook_secret)

    if not is_valid:
        print(f"Webhook validation failed: {message}")
        return {
            'statusCode': 403,
            'body': json.dumps({'message': 'Unauthorized'})
        }

    # If valid, parse JSON and proceed with processing
    payload = json.loads(body)
    # ... process payload ...

    return {
        'statusCode': 200,
        'body': json.dumps({'message': 'Webhook received and processed'})
    }

Procesamiento Asíncrono para Escalabilidad y Fiabilidad

Después de validar el webhook, generalmente es una buena práctica desacoplar el proceso de ingesta de la lógica de negocio real. Esto significa que su función Lambda, después de la validación, no debe ejecutar directamente operaciones de base de datos complejas o llamadas a API externas. En su lugar, simplemente debe enviar la carga útil validada a una cola de procesamiento asíncrono, como AWS SQS (Simple Queue Service).

Esta arquitectura ofrece varias ventajas:

  • Escalabilidad: Su API Gateway y la Lambda inicial pueden manejar un alto volumen de webhooks entrantes sin ser limitados por el procesamiento posterior.
  • Fiabilidad: Si sus sistemas posteriores no están disponibles temporalmente, los mensajes permanecen en la cola, evitando la pérdida de datos.
  • Desacoplamiento: Diferentes funciones o servicios Lambda pueden procesar mensajes de la cola SQS, lo que permite un desarrollo e implementación modular e independiente de su lógica de negocio (por ejemplo, actualizar registros de usuarios, activar alertas AML o registrar resultados de verificación).
  • Respuestas Rápidas: El punto final inicial del webhook puede responder rápidamente (por ejemplo, con un 200 OK), evitando que Didit reintente el webhook innecesariamente.

Esto asegura que, ya sea que esté realizando Verificación de ID, utilizando Verificación NFC para pasaportes electrónicos o aprovechando la Estimación de Edad para el cumplimiento, los resultados se procesen de manera eficiente y confiable.

Cómo Ayuda Didit

Didit es una plataforma de identidad nativa de IA y orientada al desarrollador, diseñada para la modularidad y la facilidad de integración. Nuestros webhooks son un excelente ejemplo de esta filosofía, proporcionando notificaciones seguras en tiempo real sobre el estado de sus flujos de trabajo de verificación de identidad. Al ofrecer una API limpia y documentación completa, Didit facilita la configuración e integración de estos webhooks en su middleware personalizado, como la solución de AWS Lambda y API Gateway descrita anteriormente.

La plataforma de Didit admite una amplia gama de primitivas de verificación de identidad, que incluyen Verificación de ID (OCR, MRZ, códigos de barras), Vivacidad Pasiva y Activa, Coincidencia Facial 1:1 y Búsqueda Facial, Cribado y Monitoreo AML, Prueba de Dirección, Estimación de Edad, Verificación de Teléfono y Correo Electrónico, y Verificación NFC. Los resultados de cualquiera de estas comprobaciones se pueden entregar a través de nuestros webhooks seguros, lo que le permite construir sistemas altamente receptivos y automatizados. Además, Didit ofrece KYC Básico Gratuito, una arquitectura modular y sin tarifas de configuración, lo que lo convierte en una opción accesible y potente para empresas de todos los tamaños que buscan automatizar la confianza y orquestar el riesgo.

¿Listo para Empezar?

¿Listo para ver Didit en acción? Obtenga una demostración gratuita hoy mismo.

Comience a verificar identidades de forma gratuita con el nivel gratuito de Didit.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Middleware Seguro para Webhooks de Didit con AWS Lambda.