Le guide du développeur pour la création de "webhook listeners" KYC personnalisés (FR)

Configuration sécurisée des webhooksImplémentez des points de terminaison de webhook sécurisés avec vérification de signature HMAC-SHA256 et validation d'horodatage pour prévenir les attaques par rejeu et garantir l'intégrité des données de votre fournisseur KYC.

Traitement KYC en temps réelUtilisez les webhooks pour recevoir des notifications instantanées sur l'état des sessions de vérification d'identité, permettant des mises à jour immédiates des profils utilisateurs et la rationalisation des flux d'intégration.

Gestion robuste des erreursConcevez votre "webhook listener" avec une gestion complète des erreurs, incluant des tentatives de "retry" et des files d'attente de messages non livrés ("dead-letter queues"), pour gérer les problèmes transitoires et garantir qu'aucune donnée KYC critique n'est perdue.

Intégration simplifiée de DiditDidit simplifie la configuration des webhooks grâce à une documentation API claire, des versions configurables et une rotation automatique des secrets, ce qui facilite l'intégration sécurisée et efficace des résultats KYC en temps réel dans n'importe quelle application.

La puissance du KYC en temps réel avec les webhooks

Dans l'économie numérique rapide d'aujourd'hui, la vérification d'identité en temps réel (KYC) n'est plus un luxe mais une nécessité. Les entreprises doivent intégrer les utilisateurs rapidement et en toute sécurité, en vérifiant instantanément leur identité pour prévenir la fraude et se conformer aux réglementations. Bien que l'interrogation d'une API pour les mises à jour de statut puisse fonctionner, c'est inefficace et peut entraîner des retards. C'est là que les webhooks excellent. Les webhooks fournissent un mécanisme instantané, basé sur les événements, permettant à votre fournisseur KYC de notifier votre application chaque fois que le statut d'une session de vérification change. Cela permet une prise de décision immédiate, une intégration plus rapide des utilisateurs et une expérience client supérieure.

Pour les développeurs, la création d'un "webhook listener" personnalisé signifie prendre le contrôle de votre flux de travail KYC. Au lieu d'attendre, votre système réagit. Qu'il s'agisse d'une vérification d'identité réussie, d'un échec de vérification de vivacité ou d'une alerte de "screening" AML, les webhooks fournissent les informations dont vous avez besoin précisément quand vous en avez besoin. Didit, avec sa plateforme native à l'IA, adopte ce paradigme en temps réel, offrant des capacités de webhook robustes qui s'intègrent parfaitement à votre infrastructure existante.

Configuration de votre point de terminaison de webhook avec Didit

La configuration de votre point de terminaison de webhook avec un fournisseur comme Didit est simple. Didit vous permet de configurer votre URL de webhook, de spécifier la version de la charge utile (la v3 est recommandée pour les dernières fonctionnalités) et de gérer votre clé secrète directement via son API ou sa console métier. Cette flexibilité vous permet d'adapter l'intégration à vos besoins spécifiques.

Lors de la configuration, vous définirez l'URL où Didit enverra les notifications. Cette URL doit être accessible publiquement et capable de recevoir des requêtes POST. Didit vous permet également de définir un paramètre data_retention_months, vous donnant le contrôle sur la durée de stockage des données de session, ce qui est crucial pour la conformité. Vous pouvez également spécifier la capture_method pour les sessions de vérification (mobile, desktop, ou les deux) et même faire pivoter votre secret_shared_key pour une sécurité améliorée, invalidant immédiatement l'ancienne clé.

Par exemple, en utilisant l'API de gestion de Didit, vous pouvez mettre à jour votre configuration de webhook :

PATCH /v3/webhook/
{
  "webhook_url": "https://myapp.com/webhooks/didit",
  "webhook_version": "v3",
  "capture_method": "both",
  "data_retention_months": 12
}

Cet appel API simple indique à Didit où envoyer vos mises à jour KYC en temps réel et comment les formater, garantissant que vous recevez des informations critiques pour des processus tels que la vérification d'identité et les vérifications de vivacité passives et actives.

Construire un "webhook listener" sécurisé et fiable

La sécurité est primordiale lors de la gestion de données KYC sensibles. Votre "webhook listener" doit être conçu pour vérifier l'authenticité et l'intégrité de chaque requête entrante. Didit fournit une secret_shared_key que vous utiliserez pour valider les signatures de webhook. Le processus implique généralement :

1. Réception de la requête : Votre point de terminaison reçoit une requête POST de Didit.
2. Extraction de la signature : Didit inclut un en-tête X-Signature avec une signature HMAC-SHA256.
3. Vérification de la signature : Vous calculerez votre propre signature HMAC-SHA256 en utilisant le corps de la requête brut et votre secret_shared_key. Cette signature calculée doit correspondre à celle de l'en-tête X-Signature. Surtout, NE PAS analyser le corps JSON avant de vérifier la signature.
4. Validation de l'horodatage : Les charges utiles de webhook incluent également un horodatage. Validez que cet horodatage est récent (par exemple, dans les 5 minutes) pour prévenir les attaques par rejeu.
5. Traitement de la charge utile : Une fois vérifiée, vous pouvez analyser en toute sécurité le corps JSON et traiter les résultats KYC.

Au-delà de la sécurité, la fiabilité est essentielle. Votre "listener" doit être idempotent, ce qui signifie que le traitement du même événement plusieurs fois a le même effet que de le traiter une seule fois. Implémentez une gestion robuste des erreurs, y compris la journalisation, les tentatives de "retry" pour les défaillances transitoires et potentiellement une file d'attente de messages non livrés pour les événements qui échouent constamment. Cela garantit que les résultats critiques de vérification d'identité, y compris ceux du "screening" et du suivi AML ou de l'estimation de l'âge, ne sont jamais manqués.

Gestion des événements de webhook et intégration avec votre logique métier

Une fois que vous avez reçu et validé en toute sécurité un événement de webhook, l'étape suivante consiste à l'intégrer à la logique métier de votre application. Les webhooks de Didit fournissent des informations détaillées sur la session de vérification, y compris son statut (par exemple, approved, rejected, pending), la raison du statut et les points de données pertinents. Par exemple, un événement de vérification d'identité réussi pourrait déclencher une mise à jour du profil d'un utilisateur, le marquant comme vérifié et débloquant l'accès à certaines fonctionnalités.

Considérez les types d'événements que vous pourriez recevoir :

• Session terminée : L'événement le plus courant, indiquant qu'une session de vérification a atteint un état final (approuvée, rejetée ou révision manuelle).
• Document vérifié : Spécifique à la vérification d'identité, confirmant l'authenticité du document.
• Vérification de vivacité réussie/échouée : Crucial pour la prévention de la fraude, indiquant le résultat d'une vérification de vivacité.
• Alerte AML : Signifie une correspondance lors du "screening" AML, nécessitant une enquête plus approfondie.

Votre "listener" doit analyser ces événements et déclencher les actions appropriées au sein de votre système. Cela pourrait impliquer la mise à jour du statut d'un utilisateur dans votre base de données, l'envoi de notifications internes ou l'initiation d'étapes supplémentaires dans un flux de travail d'intégration à plusieurs étapes. L'architecture modulaire de Didit signifie que ces événements peuvent alimenter directement vos flux de travail orchestrés, permettant des réactions dynamiques aux résultats de vérification.

Comment Didit vous aide

Didit est conçu pour simplifier le monde complexe de la vérification d'identité, et son système de webhook en est un excellent exemple. En tant que plateforme native à l'IA et axée sur les développeurs, Didit fournit des API claires et une documentation complète qui facilitent l'intégration des webhooks. Nous offrons le KYC de base gratuit, vous permettant de commencer sans frais initiaux, et notre architecture modulaire signifie que vous n'utilisez et ne payez que ce dont vous avez besoin.

Avec Didit, vous bénéficiez de :

• Configuration transparente : Configurez et gérez facilement votre URL de webhook, votre version et votre clé secrète via l'API ou la console métier intuitive.
• Fonctionnalités de sécurité robustes : La prise en charge intégrée de la vérification de signature HMAC-SHA256 et de la validation d'horodatage garantit l'intégrité et l'authenticité de toutes les données de webhook entrantes.
• Charges utiles détaillées : Recevez des données riches et structurées pour chaque événement de vérification, couvrant des produits tels que la vérification d'identité, la vivacité passive et active, la correspondance faciale 1:1, le "screening" et le suivi AML, la preuve d'adresse et l'estimation de l'âge.
• Flux de travail orchestrés : Les événements de webhook peuvent s'intégrer de manière transparente dans le générateur de flux de travail sans code de Didit, vous permettant de concevoir des réponses automatisées sophistiquées aux résultats de vérification.
• Pas de frais d'installation : Commencez immédiatement et intégrez de puissantes capacités de vérification d'identité dans votre application sans coûts cachés.

L'engagement de Didit à être "developer-first" signifie que vous passez moins de temps sur le "boilerplate" d'intégration et plus de temps à créer des fonctionnalités innovantes, tout en garantissant que vos processus KYC sont sécurisés, conformes et ultra-rapides.

Prêt à commencer ?

Prêt à voir Didit en action ? Obtenez une démo gratuite dès aujourd'hui.

Commencez à vérifier les identités gratuitement avec le plan gratuit de Didit.