Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 6 mars 2026

Concevoir un Middleware de Webhook Sécurisé pour Didit avec AWS Lambda (FR)

Apprenez à construire un middleware API Gateway robuste et sécurisé pour les webhooks de Didit en utilisant AWS Lambda. Ce guide couvre la vérification de signature, la validation d'horodatage et le traitement asynchrone.

Par DiditMis à jour le
aws-lambda-api-gateway-didit-webhooks.png

Ingestion Sécurisée de Webhooks L'implémentation de la vérification de signature HMAC-SHA256 et de la validation d'horodatage est cruciale pour sécuriser les webhooks Didit contre la falsification et les attaques par relecture, garantissant l'intégrité et l'authenticité des données.

Architecture de Traitement Asynchrone L'utilisation d'AWS Lambda et SQS découple l'ingestion de webhook du traitement, améliorant l'évolutivité, la fiabilité et permettant une logique en aval complexe sans impacter les réponses en temps réel.

Mises à Jour d'Identité en Temps Réel Les webhooks de Didit fournissent des notifications instantanées sur les résultats de vérification d'identité, permettant des mises à jour immédiates des statuts d'utilisateur, des alertes de fraude ou des enregistrements de conformité au sein de votre application.

L'Approche Développeur-First de Didit Didit offre une architecture modulaire et des API claires, ce qui facilite l'intégration des résultats de vérification d'identité en temps réel dans vos systèmes, encore améliorée par une offre KYC de base gratuite et sans frais d'installation.

L'Importance d'une Gestion Sécurisée des Webhooks

Dans le paysage numérique interconnecté d'aujourd'hui, l'échange de données en temps réel est primordial, en particulier pour les fonctions critiques comme la vérification d'identité. Les webhooks servent de colonne vertébrale à ces notifications en temps réel, permettant à des services comme Didit d'informer instantanément votre application du résultat d'une vérification d'identité, d'un résultat de screening AML ou d'un statut de détection de vivacité. Cependant, la simple réception de données ne suffit pas ; il est vital d'assurer son authenticité, son intégrité et son traitement en temps opportun. Un point de terminaison de webhook non sécurisé peut être une vulnérabilité importante, susceptible de falsification de données, d'attaques par relecture ou de tentatives de déni de service. C'est là qu'un middleware API Gateway bien conçu, en particulier pour les webhooks de Didit, devient indispensable.

Lorsque Didit termine une vérification d'identité, un contrôle de vivacité passif et actif, une correspondance faciale 1:1 ou un screening AML, il envoie un webhook à votre point de terminaison configuré. Cette notification contient des informations cruciales sur le statut de la vérification. Sans mesures de sécurité appropriées, des acteurs malveillants pourraient forger ces notifications, conduisant à des décisions d'intégration d'utilisateurs incorrectes ou à des activités frauduleuses. Par exemple, un statut « vérifié » falsifié pourrait accorder l'accès à un mauvais acteur, tandis qu'un statut « échoué » falsifié pourrait entraîner le blocage d'utilisateurs légitimes. Par conséquent, l'établissement d'un mécanisme de réception de webhook sécurisé et robuste n'est pas seulement une bonne pratique ; c'est une nécessité pour maintenir la sécurité et la conformité de votre plateforme.

Construire un Middleware Robuste avec AWS Lambda et API Gateway

Pour gérer efficacement et en toute sécurité les webhooks de Didit, nous pouvons exploiter la puissance d'AWS Lambda et d'API Gateway pour créer un middleware serverless. Cette architecture offre évolutivité, rentabilité et haute disponibilité, parfaitement adaptées au traitement des données événementielles. L'idée principale est qu'API Gateway agisse comme point d'entrée, transmettant les requêtes à une fonction Lambda responsable de la validation initiale et du traitement sécurisé.

Étape 1 : Configuration d'API Gateway comme Point d'Entrée

Votre AWS API Gateway exposera un point de terminaison public (par exemple, /api/webhooks/didit) auquel Didit enverra ses webhooks. Il est crucial de configurer ce point de terminaison pour accepter les requêtes POST et l'intégrer à votre fonction Lambda. Contrairement aux configurations traditionnelles, l'API Gateway doit être configuré pour transmettre le corps de la requête brut directement à Lambda sans analyse JSON immédiate. Ceci est dû au fait que la vérification de signature nécessite la charge utile brute exacte envoyée par Didit.

Étape 2 : Implémentation de la Validation Sécurisée dans AWS Lambda

La fonction Lambda est le cœur de votre middleware. Dès la réception d'un webhook, elle doit effectuer plusieurs étapes de validation critiques avant de traiter les données :

  1. Lecture du Corps de la Requête Brut : La fonction Lambda doit accéder au corps de la requête brut. C'est essentiel pour la vérification de signature HMAC-SHA256.
  2. Vérification de la Signature HMAC-SHA256 : Les webhooks de Didit incluent un en-tête X-Signature contenant une signature HMAC-SHA256. Votre fonction Lambda utilisera votre secret de webhook (partagé entre votre application et Didit) pour calculer sa propre signature à partir du corps de la requête brut. Si la signature calculée ne correspond pas à l'en-tête X-Signature, le webhook est invalide et doit être rejeté immédiatement. Cela protège contre la falsification de données.
  3. Validation de l'Horodatage : Didit inclut également un en-tête X-Timestamp. Votre fonction Lambda doit vérifier que cet horodatage est récent, généralement dans une fenêtre de 5 minutes par rapport à l'heure actuelle. Cela empêche les attaques par relecture, où un attaquant pourrait renvoyer un ancien événement de webhook légitime.
  4. Analyse du Corps JSON : Ce n'est qu'après une vérification réussie de la signature et de l'horodatage que le corps brut doit être analysé en un objet JSON.

Voici un extrait de code Python conceptuel pour la vérification de signature au sein de votre Lambda :


import hmac
import hashlib
import time
import json

def verify_webhook_signature(body, headers, secret):
    signature_header = headers.get('X-Signature')
    timestamp_header = headers.get('X-Timestamp')

    if not signature_header or not timestamp_header:
        return False, "Missing signature or timestamp header"

    # Check timestamp for freshness (e.g., within 5 minutes)
    current_time = int(time.time())
    event_timestamp = int(timestamp_header)
    if abs(current_time - event_timestamp) > 300: # 300 seconds = 5 minutes
        return False, "Webhook timestamp too old or too far in future"

    # Reconstruct the signed payload
    signed_payload = f"v1:{timestamp_header}:{body}"

    # Compute HMAC signature
    expected_signature = hmac.new(
        secret.encode('utf-8'),
        signed_payload.encode('utf-8'),
        hashlib.sha256
    ).hexdigest()

    # Compare signatures in a secure way (constant time comparison)
    if hmac.compare_digest(signature_header, expected_signature):
        return True, "Signature valid"
    else:
        return False, "Signature mismatch"

# In your Lambda handler:
def lambda_handler(event, context):
    body = event['body'] # Raw request body
    headers = event['headers']
    webhook_secret = "YOUR_DIDIT_WEBHOOK_SECRET" # Store securely, e.g., in AWS Secrets Manager

    is_valid, message = verify_webhook_signature(body, headers, webhook_secret)

    if not is_valid:
        print(f"Webhook validation failed: {message}")
        return {
            'statusCode': 403,
            'body': json.dumps({'message': 'Unauthorized'})
        }

    # If valid, parse JSON and proceed with processing
    payload = json.loads(body)
    # ... process payload ...

    return {
        'statusCode': 200,
        'body': json.dumps({'message': 'Webhook received and processed'})
    }

Traitement Asynchrone pour l'Évolutivité et la Fiabilité

Après avoir validé le webhook, il est généralement préférable de découpler le processus d'ingestion de la logique métier réelle. Cela signifie que votre fonction Lambda, après validation, ne devrait pas exécuter directement des opérations de base de données complexes ou des appels d'API externes. Au lieu de cela, elle devrait simplement pousser la charge utile validée vers une file d'attente de traitement asynchrone, telle qu'AWS SQS (Simple Queue Service).

Cette architecture offre plusieurs avantages :

  • Évolutivité : Votre API Gateway et la Lambda initiale peuvent gérer un volume élevé de webhooks entrants sans être bloqués par le traitement en aval.
  • Fiabilité : Si vos systèmes en aval sont temporairement indisponibles, les messages restent dans la file d'attente, évitant ainsi la perte de données.
  • Découplage : Différentes fonctions ou services Lambda peuvent traiter les messages de la file d'attente SQS, permettant un développement et un déploiement modulaires et indépendants de votre logique métier (par exemple, mise à jour des enregistrements d'utilisateurs, déclenchement d'alertes AML ou enregistrement des résultats de vérification).
  • Réponses Rapides : Le point de terminaison initial du webhook peut répondre rapidement (par exemple, avec un 200 OK), empêchant Didit de retenter inutilement le webhook.

Cela garantit que, que vous effectuiez une vérification d'identité, utilisiez la vérification NFC pour les passeports électroniques ou exploitiez l'estimation de l'âge pour la conformité, les résultats sont traités efficacement et de manière fiable.

Comment Didit Aide

Didit est une plateforme d'identité native de l'IA, axée sur les développeurs, conçue pour la modularité et la facilité d'intégration. Nos webhooks sont un excellent exemple de cette philosophie, fournissant des notifications sécurisées et en temps réel sur l'état de vos flux de travail de vérification d'identité. En offrant une API claire et une documentation complète, Didit facilite la configuration et l'intégration de ces webhooks dans votre middleware personnalisé, comme la solution AWS Lambda et API Gateway décrite ci-dessus.

La plateforme de Didit prend en charge un large éventail de primitives de vérification d'identité, y compris la vérification d'identité (OCR, MRZ, codes-barres), la vivacité passive et active, la correspondance faciale 1:1 et la recherche faciale, le screening et le monitoring AML, la preuve d'adresse, l'estimation de l'âge, la vérification de téléphone et d'e-mail, et la vérification NFC. Les résultats de chacun de ces contrôles peuvent être livrés via nos webhooks sécurisés, vous permettant de construire des systèmes hautement réactifs et automatisés. De plus, Didit propose un KYC de base gratuit, une architecture modulaire et aucun frais d'installation, ce qui en fait un choix accessible et puissant pour les entreprises de toutes tailles cherchant à automatiser la confiance et à orchestrer les risques.

Prêt à Commencer ?

Envie de voir Didit en action ? Obtenez une démo gratuite dès aujourd'hui.

Commencez à vérifier les identités gratuitement avec le niveau gratuit de Didit.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
Middleware de Webhook Sécurisé Didit avec AWS Lambda.