Middleware FastAPI untuk Penilaian Risiko Identitas Real-time dengan Didit (ID)

Penilaian Risiko Real-time Sangat Penting Aplikasi modern memerlukan penilaian risiko identitas segera untuk memerangi penipuan dan memastikan kepatuhan secara efektif.

Penanganan Webhook yang Aman Adalah Utama Menerapkan verifikasi tanda tangan yang kuat dan pemeriksaan stempel waktu untuk webhook yang masuk mencegah gangguan dan serangan replay, yang krusial untuk menjaga integritas data.

Middleware FastAPI Menyederhanakan Integrasi Memanfaatkan kemampuan middleware FastAPI memungkinkan pemrosesan peristiwa webhook asinkron yang terpusat dan efisien, terintegrasi dengan mulus ke dalam alur aplikasi Anda.

Didit Menggerakkan Orkes Identitas Cerdas Didit menyediakan verifikasi identitas berbasis AI-native dan infrastruktur webhook, menawarkan notifikasi real-time dan sinyal risiko komprehensif untuk menginformasikan keputusan keamanan aplikasi Anda.

Dalam lanskap digital saat ini, kecepatan dan akurasi verifikasi identitas secara langsung memengaruhi postur keamanan aplikasi dan pengalaman pengguna. Seiring berkembangnya bisnis, kebutuhan akan penilaian risiko real-time menjadi sangat penting, memungkinkan tindakan segera terhadap aktivitas penipuan dan memastikan kepatuhan terhadap standar regulasi. Mengintegrasikan platform verifikasi identitas canggih seperti Didit dengan backend Anda, terutama menggunakan framework modern seperti FastAPI, dapat secara signifikan meningkatkan pertahanan Anda.

Posting blog ini akan memandu Anda dalam membangun middleware FastAPI yang tangguh untuk memproses webhook Didit guna penilaian risiko identitas real-time. Kami akan membahas penerimaan webhook yang aman, verifikasi tanda tangan, dan cara mengintegrasikan sinyal risiko kritis ini ke dalam logika aplikasi Anda.

Kekuatan Webhook untuk Sinyal Identitas Real-time

Webhook adalah landasan komunikasi asinkron modern, memungkinkan layanan untuk mengirim notifikasi real-time ke aplikasi lain ketika peristiwa tertentu terjadi. Untuk verifikasi identitas, ini berarti bahwa segera setelah pengguna menyelesaikan langkah verifikasi, atau penilaian risiko selesai, Didit dapat segera memberi tahu aplikasi Anda. Umpan balik real-time ini sangat penting untuk penilaian risiko dinamis, memungkinkan Anda untuk:

• Memperbarui profil pengguna secara instan: Menandai pengguna sebagai terverifikasi atau memberi tanda untuk ditinjau berdasarkan hasil Verifikasi ID atau Pemeriksaan AML.
• Memicu alur kerja bersyarat: Jika pengguna gagal dalam pemeriksaan deteksi Liveness atau ditandai selama Pemeriksaan AML, Anda dapat segera memulai proses peninjauan yang lebih mendalam atau memblokir akses.
• Meningkatkan deteksi penipuan: Menggabungkan sinyal risiko Didit, seperti Analisis IP atau hasil Verifikasi Telepon, dengan model penipuan internal Anda untuk penilaian yang lebih komprehensif.

Webhook Didit menyediakan payload JSON terperinci dengan hasil berbagai pemeriksaan verifikasi, termasuk dari Verifikasi ID, Liveness Pasif & Aktif, Pencocokan Wajah 1:1, Pemeriksaan & Pemantauan AML, Bukti Alamat, dan Verifikasi Telepon & Email. Titik data yang kaya ini sangat berharga untuk membangun profil risiko real-time untuk setiap pengguna.

Mengamankan Titik Akhir Webhook Anda dengan Middleware FastAPI

Menerima webhook dengan aman tidak dapat dinegosiasikan. Aktor jahat dapat mencoba mengirim peristiwa palsu atau memutar ulang yang lama, yang menyebabkan data terganggu atau tindakan yang salah. Webhook Didit menyertakan tanda tangan HMAC-SHA256 dan stempel waktu, yang penting untuk memverifikasi keaslian dan integritas setiap permintaan yang masuk. Middleware FastAPI adalah tempat yang sangat baik untuk menerapkan pemeriksaan keamanan ini secara terpusat.

Berikut adalah garis besar konseptual tentang bagaimana Anda akan menyusun middleware FastAPI Anda:

import hmac
import hashlib
import time
from fastapi import FastAPI, Request, HTTPException
from starlette.middleware.base import BaseHTTPMiddleware
from starlette.responses import JSONResponse

WEBHOOK_SECRET = "YOUR_DIDIT_WEBHOOK_SECRET" # Dapatkan ini dari Konsol Didit -> Kunci API

class DiditWebhookSignatureMiddleware(BaseHTTPMiddleware):
    async def dispatch(self, request: Request, call_next):
        if request.url.path == "/api/webhooks/didit":
            signature = request.headers.get("X-Signature")
            timestamp = request.headers.get("X-Timestamp")

            if not signature or not timestamp:
                raise HTTPException(status_code=401, detail="Tanda tangan atau stempel waktu webhook hilang")

            # 1. Verifikasi Kesegaran Stempel Waktu (misalnya, dalam 5 menit)
            try:
                request_time = int(timestamp)
                if abs(time.time() - request_time) > 300: # 300 detik = 5 menit
                    raise HTTPException(status_code=401, detail="Stempel waktu webhook terlalu lama atau terlalu baru")
            except ValueError:
                raise HTTPException(status_code=401, detail="Format stempel waktu tidak valid")

            # 2. Rekonstruksi payload yang ditandatangani
            body = await request.body()
            signed_payload = f"{timestamp}.{body.decode('utf-8')}"

            # 3. Hitung tanda tangan yang diharapkan
            expected_signature = hmac.new(
                WEBHOOK_SECRET.encode('utf-8'),
                signed_payload.encode('utf-8'),
                hashlib.sha256
            ).hexdigest()

            # 4. Bandingkan tanda tangan
            if not hmac.compare_digest(expected_signature, signature):
                raise HTTPException(status_code=401, detail="Tanda tangan webhook tidak valid")

            # Jika tanda tangan dan stempel waktu valid, lanjutkan
            request.state.didit_webhook_body = body.decode('utf-8') # Simpan untuk pemrosesan selanjutnya
        return await call_next(request)

app = FastAPI()
app.add_middleware(DiditWebhookSignatureMiddleware)

@app.post("/api/webhooks/didit")
async def handle_didit_webhook(request: Request):
    # Payload webhook sudah diverifikasi dan tersedia di request.state
    payload = json.loads(request.state.didit_webhook_body)
    # Proses payload untuk penilaian risiko, perbarui status pengguna, dll.
    print("Menerima webhook Didit yang valid:", payload)
    return JSONResponse({"status": "sukses"})

Middleware ini memastikan bahwa setiap permintaan webhook Didit yang mencapai titik akhir /api/webhooks/didit Anda diautentikasi dan baru sebelum logika aplikasi Anda melihat payload. Ini adalah lapisan pertahanan kritis terhadap berbagai vektor serangan.

Mengintegrasikan Sinyal Risiko Real-time ke dalam Logika Aplikasi Anda

Setelah payload webhook diverifikasi dan diurai, aplikasi Anda dapat mengekstrak informasi yang diperlukan untuk memperbarui skor risiko pengguna atau memicu tindakan tertentu. Dokumentasi Alur Penuh API Didit menguraikan struktur komprehensif payload ini, termasuk session_id, vendor_data (ID pengguna internal Anda), dan hasil terperinci dari setiap langkah verifikasi.

Misalnya, jika pengguna menjalani Verifikasi ID dan Deteksi Liveness, payload webhook akan berisi status pemeriksaan ini. Anda mungkin menentukan skor risiko berdasarkan:

• Verifikasi ID Berhasil: Menurunkan skor risiko.
• Deteksi Liveness Gagal: Secara signifikan meningkatkan skor risiko, berpotensi memicu pembekuan akun.
• AML Screening Terkena (PEP/Sanksi): Risiko tinggi, memerlukan peninjauan manual segera.
• Nomor Telepon Sekali Pakai Terdeteksi (dari Verifikasi Telepon): Risiko sedang, mungkin menunjukkan niat penipuan.

Tugas penangan webhook Anda adalah menafsirkan sinyal-sinyal ini dan memperbarui status pengguna internal atau profil risiko Anda sesuai. Ini bisa melibatkan pembaruan bidang user_status di database Anda, menambahkan bendera untuk peninjauan manual, atau bahkan berintegrasi dengan sistem manajemen penipuan khusus.

Bagaimana Didit Membantu

Didit adalah platform identitas berbasis AI-native, berorientasi pengembang yang dirancang untuk membuat penilaian risiko identitas real-time menjadi lancar dan efisien. Arsitektur modular kami memungkinkan Anda untuk menyusun alur kerja verifikasi yang secara tepat memenuhi kebutuhan Anda, mulai dari Verifikasi ID dasar hingga Pemeriksaan AML canggih dan deteksi Liveness Pasif & Aktif. Kami menyediakan kemampuan webhook yang kuat, memastikan bahwa aplikasi Anda menerima notifikasi real-time dan aman tentang hasil verifikasi.

Dengan Didit, Anda mendapatkan manfaat dari:

• KYC Inti Gratis: Mulai dengan verifikasi identitas esensial tanpa biaya, memungkinkan Anda untuk membangun dan menguji integrasi Anda tanpa investasi awal.
• Kecerdasan AI-Native: Manfaatkan AI canggih untuk deteksi penipuan yang unggul, deteksi liveness, dan analisis dokumen, memberikan sinyal risiko yang akurat.
• Pendekatan Berorientasi Pengembang: API yang bersih, dokumentasi komprehensif, dan sandbox instan membuat integrasi dengan framework seperti FastAPI menjadi mudah dan cepat.
• Alur Kerja Terorkestrasi: Tentukan alur verifikasi yang kompleks dengan mesin tanpa kode, memungkinkan Anda untuk beradaptasi dengan lanskap risiko yang berkembang tanpa perubahan kode.
• Cakupan Global: Verifikasi identitas di seluruh dunia dengan dukungan untuk berbagai jenis dokumen dan persyaratan kepatuhan regional.

Dengan memanfaatkan produk Verifikasi Telepon & Email, Verifikasi ID, dan Pemeriksaan & Pemantauan AML Didit, dikombinasikan dengan infrastruktur webhook kami yang aman, Anda dapat membangun sistem penilaian risiko identitas yang sangat responsif dan tangguh dalam aplikasi FastAPI Anda. Platform kami memberikan data real-time yang Anda butuhkan untuk membuat keputusan yang tepat dan melindungi bisnis Anda.

Siap Memulai?

Siap melihat Didit beraksi? Dapatkan demo gratis hari ini.

Mulai verifikasi identitas secara gratis dengan tingkat gratis Didit.