Lewati ke konten utama
Didit Raih $7,5 Juta untuk Membangun Infrastruktur Identitas dan Fraud
Didit
Kembali ke blog
Blog · 7 Juli 2026

Construindo Fluxos de Identidade Orientados a Eventos: Um Guia de Integração de Webhooks

Aprenda a usar webhooks para fluxos de trabalho de verificação de identidade em tempo real e orientados a eventos, melhorando a eficiência e a capacidade de resposta na sua infraestrutura de fraude e conformidade.

Oleh DiditDiperbarui
didit-thumb-91201.png

Construir fluxos de trabalho de identidade orientados a eventos com webhooks permite que seus sistemas reajam instantaneamente a mudanças no status de verificação de identidade, possibilitando tomadas de decisão em tempo real e processos de conformidade automatizados.

O Poder do Tempo Real: Por Que Webhooks São Essenciais para a Verificação de Identidade

A verificação de identidade tradicional geralmente envolve o polling de um endpoint de API em intervalos regulares para verificar atualizações de status. Embora funcional, essa abordagem introduz latência e pode ser ineficiente, consumindo recursos desnecessários. Webhooks, em contraste, oferecem um mecanismo elegante e baseado em push, onde seu provedor de verificação de identidade notifica seu aplicativo diretamente sempre que um evento significativo ocorre. Essa comunicação em tempo real é crítica para sistemas modernos de prevenção de fraudes e conformidade.

Imagine um cenário onde um usuário envia seus documentos para verificação Know Your Customer (KYC). Com webhooks, assim que o processo de verificação é concluído – seja aprovado, rejeitado ou exigindo ação adicional – seu aplicativo recebe uma notificação imediata. Isso permite que você:

  • Acelere o Onboarding: Conceda acesso instantaneamente aos serviços após a verificação bem-sucedida.
  • Automatize Respostas a Riscos: Acione verificações de fraude adicionais ou filas de revisão para verificações suspeitas sem demora.
  • Melhore a Experiência do Usuário: Forneça feedback imediato aos usuários sobre o status de sua verificação.
  • Otimize Operações: Reduza a necessidade de verificações manuais e polling constante da API.

Webhooks vs. Polling: Uma Comparação Técnica

RecursoWebhooks (Push)Polling (Pull)
ComunicaçãoServidor envia dados para o clienteCliente solicita dados do servidor
LatênciaQuase em tempo realDependente do intervalo de polling
EficiênciaAlta (envia dados apenas quando o evento ocorre)Menor (solicitações frequentes, muitas vezes sem novos dados)
Uso de RecursosMenor para o cliente, maior para o servidor gerenciar conexõesMaior para o cliente, menor para o servidor responder a solicitações
ComplexidadeRequer endpoint público no clienteImplementação mais simples no lado do cliente

Para a verificação de identidade com webhook, os benefícios do processamento de eventos em tempo real superam em muito a pequena complexidade adicional de configuração.

Projetando Sua Integração de Webhook para Identidade e Fraude

Integrar webhooks de forma eficaz requer planejamento cuidadoso e implementação confiável. Aqui está um detalhamento das principais considerações:

1. Segurança e Autenticação do Endpoint

Seu endpoint de webhook será publicamente acessível, tornando a segurança primordial. Empregue estas medidas:

  • HTTPS: Sempre use HTTPS para criptografar dados em trânsito.
  • Verificação de Assinatura: O provedor de verificação de identidade deve assinar seus payloads de webhook com um segredo compartilhado. Seu aplicativo deve verificar essa assinatura para garantir que a solicitação se originou de uma fonte legítima e não foi adulterada.
  • Whitelisting de IP: Se possível, restrinja as solicitações de webhook de entrada a um conjunto conhecido de endereços IP do seu provedor.
  • Cabeçalhos de Autenticação: Alguns provedores podem incluir chaves de API ou tokens em cabeçalhos HTTP para autenticação adicional.

2. Idempotência e Retentativas

Os webhooks podem ser entregues várias vezes devido a problemas de rede ou retentativas do lado do provedor. Seu endpoint deve ser idempotente, o que significa que processar o mesmo evento de webhook várias vezes tem o mesmo efeito que processá-lo uma vez. Isso é geralmente alcançado por:

  • IDs de Evento Únicos: Cada evento de webhook deve ter um ID único. Armazene os IDs de eventos processados e ignore duplicatas.
  • Processamento Transacional: Envolva sua lógica de processamento de webhook em transações de banco de dados.

Além disso, seu provedor deve implementar um mecanismo de retentativa para entregas falhas. Projete seu endpoint para responder rapidamente (em poucos segundos) com um código de status HTTP 2xx para confirmar o recebimento. Se o processamento demorar mais, confirme o recebimento e processe assincronamente.

3. Tipos de Eventos e Payloads de Dados

Entenda os diferentes tipos de eventos que seu provedor de verificação de identidade envia. Eventos comuns incluem:

  • verification.completed: A verificação de identidade de um usuário foi concluída.
  • verification.pending_review: Uma revisão é necessária para um caso específico.
  • verification.failed: A verificação falhou por vários motivos.
  • document.uploaded: Um novo documento foi enviado.

O payload do webhook conterá informações detalhadas sobre o evento, como o ID do usuário, status da verificação, motivos da falha e detalhes relevantes do documento. Mapeie esses payloads para seus modelos de dados internos para atualizar perfis de usuário, acionar alertas ou iniciar fluxos de trabalho subsequentes como Know Your Business (KYB) para clientes corporativos ou Wallet Screening / KYT (Know Your Transaction) para transações financeiras.

4. Alta Disponibilidade e Escalabilidade

Seu endpoint de webhook deve ser altamente disponível e escalável para lidar com picos de tráfego de eventos. Considere:

  • Balanceadores de Carga: Distribua as solicitações de entrada entre várias instâncias do seu aplicativo.
  • Sistemas de Filas: Use filas de mensagens (por exemplo, Kafka, RabbitMQ, SQS) para desacoplar o recebimento do webhook do processamento. Isso permite que seu endpoint responda rapidamente enquanto o processamento ocorre de forma confiável em segundo plano.
  • Monitoramento e Alerta: Configure o monitoramento da saúde, latência e taxas de erro do seu endpoint de webhook. Implemente alertas para entregas falhas ou erros de processamento.

Implementando a Verificação de Identidade com Webhook com Didit

Didit, como infraestrutura para identidade e fraude, oferece recursos de webhook confiáveis para integrar-se suavemente à sua arquitetura orientada a eventos. Nossa API fornece documentação detalhada sobre a configuração de webhooks para vários módulos de verificação de identidade e monitoramento de fraude.

Quando um usuário passa por um fluxo de identidade Didit, eventos como identity.verification.completed, business.verification.completed ou transaction.screening.alert podem ser configurados para acionar webhooks para o seu endpoint especificado. O payload incluirá um objeto JSON abrangente detalhando o resultado da verificação, incluindo status (por exemplo, approved, rejected, manual_review), reasons e links para relatórios mais detalhados.

Aqui está um exemplo simplificado de como você pode receber e processar um payload de webhook para uma verificação de identidade concluída:

import json
import hmac
import hashlib
import os
from flask import Flask, request, abort

app = Flask(__name__)

# Your secret key from Didit
WEBHOOK_SECRET = os.environ.get("DIDIT_WEBHOOK_SECRET")

@app.route("/didit-webhook", methods=["POST"])
def didit_webhook():
    if not WEBHOOK_SECRET:
        app.logger.error("DIDIT_WEBHOOK_SECRET is not set.")
        abort(500)

    # 1. Verify signature
    signature = request.headers.get("X-Didit-Signature")
    if not signature:
        abort(400, "No signature header provided")

    expected_signature = hmac.new(
        WEBHOOK_SECRET.encode('utf-8'),
        request.data,
        hashlib.sha256
    ).hexdigest()

    if not hmac.compare_digest(expected_signature, signature):
        abort(403, "Invalid signature")

    # 2. Parse payload
    try:
        event = json.loads(request.data)
    except json.JSONDecodeError:
        abort(400, "Invalid JSON payload")

    event_type = event.get("type")
    event_id = event.get("id") # For idempotency

    app.logger.info(f"Received Didit webhook event: {event_type} (ID: {event_id})")

    # 3. Process event based on type
    if event_type == "identity.verification.completed":
        verification_data = event.get("data", {}).get("identity_verification")
        if verification_data:
            user_id = verification_data.get("external_user_id")
            status = verification_data.get("status")
            # Example: Update user status in your database
            print(f"User {user_id} identity verification status: {status}")
            # Trigger further actions, e.g., send welcome email, enable features
            if status == "approved":
                print(f"User {user_id} is now approved!")
            elif status == "rejected":
                print(f"User {user_id} was rejected. Reason: {verification_data.get('reasons')}")

    elif event_type == "business.verification.completed":
        # Handle KYB completion
        pass
    # ... handle other event types

    return "OK", 200

if __name__ == "__main__":
    # In production, use a WSGI server like Gunicorn
    app.run(port=5000)

Este trecho demonstra os passos principais: verificação de assinatura e processamento de eventos. Lembre-se de substituir a lógica de placeholder por suas regras de negócio reais e integrar com seu banco de dados ou outros sistemas internos.

Principais Conclusões

  • Webhooks permitem fluxos de trabalho de verificação de identidade em tempo real e orientados a eventos, oferecendo vantagens significativas sobre os métodos de polling tradicionais.
  • Proteja seu endpoint de webhook com HTTPS, verificação de assinatura e whitelisting de IP.
  • Projete seu sistema para idempotência para lidar com possíveis entregas duplicadas de webhook de forma graciosa.
  • Entenda e mapeie os vários tipos de eventos e payloads de dados fornecidos pelo seu serviço de verificação de identidade.
  • Garanta que sua infraestrutura de processamento de webhook seja altamente disponível e escalável usando técnicas como balanceamento de carga e filas de mensagens.
  • Didit oferece suporte confiável a webhooks, permitindo que você construa uma infraestrutura de identidade e fraude responsiva e automatizada.

Perguntas Frequentes

Qual é o principal benefício de usar webhooks para verificação de identidade?

O principal benefício é o processamento em tempo real, permitindo que seu aplicativo reaja instantaneamente às mudanças de status de verificação, o que acelera o onboarding, automatiza as respostas a fraudes e melhora a experiência do usuário.

Como posso proteger meu endpoint de webhook?

Proteja seu endpoint usando HTTPS, verificando a assinatura dos payloads de entrada, implementando whitelisting de IP e, potencialmente, usando cabeçalhos de autenticação fornecidos pelo serviço.

O que significa para um endpoint de webhook ser "idempotente"?

Um endpoint de webhook idempotente pode processar o mesmo evento várias vezes sem causar efeitos colaterais indesejados. Isso é crucial para lidar com retentativas e entregas duplicadas do provedor de webhook.

Os webhooks podem ajudar na detecção de fraudes?

Com certeza. Os webhooks podem acionar alertas imediatos ou verificações de fraude adicionais (por exemplo, monitoramento de transações, triagem de carteira) assim que um evento de verificação de identidade suspeito ocorre, reduzindo significativamente a janela para atividades fraudulentas.

Como a Didit suporta a verificação de identidade com webhook?

Didit oferece suporte abrangente a webhooks para todos os seus módulos de identidade e fraude. Os desenvolvedores podem configurar endpoints para receber notificações de vários eventos, com payloads assinados contendo resultados detalhados de verificação, facilitando a integração suave em arquiteturas orientadas a eventos.

Construir uma arquitetura orientada a eventos com verificação de identidade com webhook é um movimento estratégico para qualquer organização que busca aprimorar sua infraestrutura de fraude e conformidade. Didit fornece as ferramentas e a flexibilidade para integrar essas capacidades em tempo real de forma eficiente. Você pode integrar Didit em 5 minutos, com preços públicos de pagamento por uso e sem mínimos. Uma verificação de identidade completa começa em US$ 0,30, e oferecemos 500 verificações gratuitas todos os meses para você começar.

Comece com Didit

Didit é infraestrutura para identidade e fraude — uma API, preços públicos de pagamento por uso e 500 verificações gratuitas todos os meses. Adicione a Verificação de Usuário ao seu fluxo e integre em 5 minutos.

Infrastruktur untuk identitas dan fraud.

Satu API untuk KYC, KYB, Transaction Monitoring, dan Wallet Screening. Integrasi dalam 5 menit.

Minta AI untuk merangkum halaman ini
Verificação de Identidade com Webhook: Guia para Fluxos Orientados a