ब्लॉग · 6 मार्च 2026

अपने Node.js बैकएंड को सुरक्षित करें: डिडिट वेबहुक के लिए HMAC सत्यापन (HI)

वेबहुक के लिए मजबूत सुरक्षा उपाय लागू करना डेटा अखंडता और अनधिकृत पहुंच को रोकने के लिए महत्वपूर्ण है। यह मार्गदर्शिका Node.js में डिडिट वेबहुक के लिए HMAC हस्ताक्षर सत्यापन पर केंद्रित है।.

द्वारा Didit6 मार्च 2026अपडेट किया गया 21 मई 2026

secure-your-nodejs-backend-hmac-validation-for-didit-webhooks.png

डेटा अखंडता की रक्षा करेंHMAC हस्ताक्षर सत्यापन वेबहुक पेलोड की प्रामाणिकता और अखंडता को सत्यापित करने के लिए आवश्यक है, जो आपके बैकएंड को छेड़छाड़ या धोखाधड़ी वाले अनुरोधों से बचाता है।

रिप्ले हमलों को रोकेंटाइमस्टैम्प सत्यापन, HMAC हस्ताक्षरों के साथ, रिप्ले हमलों के खिलाफ रक्षा की एक महत्वपूर्ण परत जोड़ता है, यह सुनिश्चित करता है कि केवल ताज़ा सूचनाएं ही संसाधित की जाती हैं।

निर्बाध एकीकरणडिडिट का डेवलपर-प्रथम दृष्टिकोण स्पष्ट दस्तावेज़ और उपकरण प्रदान करता है, जो आपके Node.js एप्लिकेशन में सुरक्षित वेबहुक प्रसंस्करण के एकीकरण को सीधा और कुशल बनाता है।

डिडिट का सुरक्षित इन्फ्रास्ट्रक्चरडिडिट का प्लेटफ़ॉर्म सुरक्षा को ध्यान में रखकर बनाया गया है, जो मजबूत HMAC हस्ताक्षर सत्यापन के साथ वेबहुक के माध्यम से रीयल-टाइम KYC सूचनाएं प्रदान करता है, जिससे आप विश्वसनीय, अनुपालन पहचान समाधान बना सकते हैं।

वेबहुक सुरक्षा की महत्वपूर्ण आवश्यकता

वेबहुक सेवाओं के बीच वास्तविक समय संचार के लिए शक्तिशाली उपकरण हैं, जो तत्काल अपडेट और इवेंट-संचालित आर्किटेक्चर को सक्षम करते हैं। पहचान सत्यापन के संदर्भ में, डिडिट आपके बैकएंड को सत्यापन सत्रों के पूरा होने, एएमएल स्क्रीनिंग परिणामों, या अन्य महत्वपूर्ण पहचान-संबंधित घटनाओं के बारे में सूचित करने के लिए वेबहुक का उपयोग करता है। जबकि अविश्वसनीय रूप से कुशल, वेबहुक सुरक्षा चुनौतियां भी पेश करते हैं। उचित सत्यापन के बिना, एक दुर्भावनापूर्ण अभिनेता जाली या परिवर्तित वेबहुक पेलोड भेज सकता है, जिससे गलत डेटा प्रसंस्करण, अनधिकृत कार्रवाई या यहां तक कि सिस्टम समझौता हो सकता है।

यहीं पर HMAC (हैश-आधारित संदेश प्रमाणीकरण कोड) हस्ताक्षर सत्यापन अपरिहार्य हो जाता है। HMAC एक संदेश की प्रामाणिकता और अखंडता दोनों को सत्यापित करने के लिए एक क्रिप्टोग्राफिक तंत्र प्रदान करता है। एक साझा गुप्त कुंजी का उपयोग करके, आपका बैकएंड यह सुनिश्चित कर सकता है कि वेबहुक पेलोड डिडिट से उत्पन्न हुआ है और रास्ते में इसके साथ छेड़छाड़ नहीं की गई है। डिडिट की आईडी सत्यापन, एएमएल स्क्रीनिंग, या पते के प्रमाण सेवाओं द्वारा संसाधित संवेदनशील पहचान डेटा से निपटने वाली किसी भी प्रणाली के लिए, सुरक्षा का यह स्तर सिर्फ एक सर्वोत्तम अभ्यास नहीं है - यह एक आवश्यकता है।

HMAC हस्ताक्षर सत्यापन को समझना

HMAC सत्यापन डिडिट और आपके एप्लिकेशन को ज्ञात एक गुप्त कुंजी का उपयोग करके प्रत्येक वेबहुक पेलोड के लिए एक अद्वितीय हस्ताक्षर उत्पन्न करके काम करता है। जब आपका Node.js बैकएंड एक वेबहुक प्राप्त करता है, तो यह गुप्त कुंजी की अपनी प्रति का उपयोग करके उसी हस्ताक्षर गणना को करता है। यदि गणना किया गया हस्ताक्षर वेबहुक के हेडर में दिए गए हस्ताक्षर से मेल खाता है, तो आप निश्चिंत हो सकते हैं कि पेलोड प्रामाणिक और छेड़छाड़ नहीं किया गया है।

डिडिट के वेबहुक में HMAC-SHA256 हस्ताक्षर वाला एक X-Signature हेडर और एक X-Timestamp हेडर शामिल होता है। टाइमस्टैम्प रिप्ले हमलों को रोकने के लिए महत्वपूर्ण है। एक रिप्ले हमला तब होता है जब एक हमलावर एक वैध वेबहुक को रोकता है और उसे बाद में फिर से भेजता है। यह सत्यापित करके कि टाइमस्टैम्प ताज़ा है (उदाहरण के लिए, 5 मिनट की विंडो के भीतर), आप पुराने, संभावित रूप से रिप्ले किए गए अनुरोधों को छोड़ सकते हैं।

Node.js में HMAC सत्यापन लागू करना

आइए Node.js एक्सप्रेस एप्लिकेशन में डिडिट वेबहुक के लिए HMAC हस्ताक्षर सत्यापन को लागू करने के चरणों पर चलते हैं। आपको अपनी वेबहुक गुप्त कुंजी तक पहुंच की आवश्यकता होगी, जिसे आपके डिडिट बिजनेस कंसोल में पाया जा सकता है या प्रबंधन एपीआई के माध्यम से पुनर्प्राप्त किया जा सकता है।

1. अपना वेबहुक एंडपॉइंट कॉन्फ़िगर करें

सबसे पहले, एक एक्सप्रेस एंडपॉइंट सेट करें जो POST अनुरोध प्राप्त कर सके। किसी भी JSON पार्सिंग मिडलवेयर से पहले कच्चे अनुरोध निकाय तक पहुंचना महत्वपूर्ण है, क्योंकि हस्ताक्षर कच्चे पेलोड पर गणना की जाती है।


const express = require('express');
const crypto = require('crypto');
const bodyParser = require('body-parser');

const app = express();
const DIDIT_WEBHOOK_SECRET = process.env.DIDIT_WEBHOOK_SECRET; // Store securely!

// Middleware to get raw body
app.use(bodyParser.json({ verify: (req, res, buf) => {
  req.rawBody = buf.toString();
}}));

app.post('/api/webhooks/didit', (req, res) => {
  // Webhook processing logic will go here
  res.status(200).send('Webhook received');
});

app.listen(3000, () => console.log('Server running on port 3000'));

2. HMAC हस्ताक्षर सत्यापित करें

अपने वेबहुक हैंडलर के अंदर, आप हेडर से टाइमस्टैम्प और हस्ताक्षर निकालेंगे, हस्ताक्षरित पेलोड का पुनर्निर्माण करेंगे, और अपने गणना किए गए हस्ताक्षर की तुलना डिडिट द्वारा प्रदान किए गए हस्ताक्षर से करेंगे।


app.post('/api/webhooks/didit', (req, res) => {
  const signatureHeader = req.headers['x-signature'];
  const timestampHeader = req.headers['x-timestamp'];
  const rawBody = req.rawBody;

  if (!signatureHeader || !timestampHeader || !rawBody) {
    return res.status(400).send('Missing webhook headers or body.');
  }

  const [algorithm, diditSignature] = signatureHeader.split('=');

  if (algorithm !== 'sha256') {
    return res.status(400).send('Unsupported signature algorithm.');
  }

  // Reconstruct the signed payload string
  const signedPayload = `${timestampHeader}.${rawBody}`;

  // Calculate your own signature
  const expectedSignature = crypto
    .createHmac('sha256', DIDIT_WEBHOOK_SECRET)
    .update(signedPayload)
    .digest('hex');

  // Compare signatures securely
  const signatureMatches = crypto.timingSafeEqual(
    Buffer.from(diditSignature, 'utf8'),
    Buffer.from(expectedSignature, 'utf8')
  );

  if (!signatureMatches) {
    console.warn('Webhook signature mismatch!');
    return res.status(401).send('Invalid signature.');
  }

  // Signature is valid, now check timestamp
  // ... (timestamp validation in next step)

  // Process event
  console.log('Webhook validated successfully:', req.body);
  res.status(200).send('Webhook received and processed.');
});

3. टाइमस्टैम्प सत्यापित करें

हस्ताक्षर सत्यापित करने के बाद, सुनिश्चित करें कि वेबहुक एक रिप्ले नहीं है। एक सामान्य अभ्यास नेटवर्क देरी के लिए एक छोटी सहिष्णुता विंडो (उदाहरण के लिए, 5 मिनट) की अनुमति देना है।


// ... (inside the webhook handler, after signature validation)

  const fiveMinutesAgo = Date.now() / 1000 - (5 * 60); // 5 minutes in seconds
  const eventTimestamp = parseInt(timestampHeader, 10);

  if (isNaN(eventTimestamp) || eventTimestamp < fiveMinutesAgo) {
    console.warn('Webhook timestamp too old or invalid!');
    return res.status(401).send('Invalid or old timestamp.');
  }

  // Now you can safely parse and process the JSON body
  try {
    const event = JSON.parse(rawBody);
    console.log('Processed Didit event:', event);
    // Example: Update user status based on event.database_validation.status

    // Didit's Database Validation Report structure:
    // const validationStatus = event.database_validation.status;
    // const matchType = event.database_validation.match_type;
    // console.log(`Validation Status: ${validationStatus}, Match Type: ${matchType}`);

    res.status(200).send('Webhook received and processed.');
  } catch (error) {
    console.error('Error parsing webhook body:', error);
    res.status(400).send('Invalid JSON body.');
  }
});

वेबहुक हैंडलिंग के लिए सर्वोत्तम अभ्यास

रहस्यों को सुरक्षित रूप से संग्रहीत करें: अपनी वेबहुक गुप्त कुंजी को कभी भी हार्डकोड न करें। पर्यावरण चर या एक सुरक्षित रहस्य प्रबंधन सेवा का उपयोग करें।
आइडम्पोटेंसी: अपने वेबहुक हैंडलर को आइडम्पोटेंट होने के लिए डिज़ाइन करें। इसका मतलब है कि एक ही वेबहुक को कई बार संसाधित करने (उदाहरण के लिए, पुन: प्रयास के कारण) का वही प्रभाव होना चाहिए जो इसे एक बार संसाधित करने का होता है।
अतुल्यकालिक प्रसंस्करण: लंबे समय तक चलने वाले कार्यों के लिए, 200 OK प्रतिक्रिया के साथ वेबहुक को तुरंत स्वीकार करें और फिर संदेश कतार का उपयोग करके पेलोड को अतुल्यकालिक रूप से संसाधित करें। यह टाइमआउट को रोकता है और सुनिश्चित करता है कि डिडिट वेबहुक को फिर से प्रयास करना जारी नहीं रखता है।
लॉगिंग और निगरानी: सत्यापन विफलताओं सहित सभी प्राप्त वेबहुक के लिए मजबूत लॉगिंग लागू करें। असामान्य गतिविधि या उच्च त्रुटि दरों के लिए अपने वेबहुक एंडपॉइंट की निगरानी करें।
त्रुटि हैंडलिंग: उपयुक्त HTTP स्थिति कोड (उदाहरण के लिए, खराब अनुरोध के लिए 400, अनधिकृत के लिए 401, सर्वर त्रुटियों के लिए 500) लौटाएं ताकि डिडिट को यह समझने में मदद मिल सके कि क्या पुन: प्रयास आवश्यक है।

डिडिट कैसे मदद करता है

डिडिट को एक एआई-देशी, डेवलपर-प्रथम पहचान प्लेटफ़ॉर्म के रूप में इंजीनियर किया गया है, जो वेबहुक प्रसंस्करण जैसे सुरक्षित एकीकरण को सीधा और विश्वसनीय बनाता है। हमारा मॉड्यूलर आर्किटेक्चर का मतलब है कि आप पहचान जांच को आसानी से प्लग इन कर सकते हैं, जिसमें आईडी सत्यापन, निष्क्रिय और सक्रिय जीवंतता, और एएमएल स्क्रीनिंग और निगरानी शामिल है, और सुरक्षित वेबहुक के माध्यम से वास्तविक समय अपडेट प्राप्त कर सकते हैं। डिडिट वेबहुक को एकीकृत करने के लिए स्पष्ट दस्तावेज़ और उदाहरण प्रदान करता है, यह सुनिश्चित करता है कि आप मजबूत, सुरक्षित संचार चैनल जल्दी से स्थापित कर सकें।

हम पहचान सत्यापन को सुलभ और शक्तिशाली बनाने में विश्वास करते हैं। यही कारण है कि हम मुफ्त कोर केवाईसी, एक प्रति-सफल जांच मॉडल, और बिल्कुल कोई सेटअप शुल्क नहीं प्रदान करते हैं। डिडिट के प्लेटफ़ॉर्म का लाभ उठाकर, आप एक वैश्विक, स्केलेबल समाधान तक पहुंच प्राप्त करते हैं जो विश्वास को स्वचालित करता है और जोखिम को ऑर्केस्ट्रेट करता है, जबकि उच्चतम सुरक्षा मानकों को बनाए रखता है, जिसमें वास्तविक समय की सूचनाओं के लिए HMAC हस्ताक्षर सत्यापन शामिल है।

शुरू करने के लिए तैयार हैं?

डिडिट को कार्रवाई में देखने के लिए तैयार हैं? आज ही एक मुफ्त डेमो प्राप्त करें।

डिडिट के मुफ्त टियर के साथ मुफ्त में पहचान सत्यापित करना शुरू करें।