Обеспечение безопасности верификации личности: лимиты и регулирование API (RU)

Защита от злоупотребленийОграничение скорости запросов и троттлинг являются важными средствами защиты от атак типа «отказ в обслуживании» (DoS), перебора паролей и подбора учетных данных на чувствительных API верификации личности.

Обеспечение стабильности системыКонтролируя объем запросов, эти механизмы предотвращают перегрузку API, обеспечивая стабильную производительность и доступность ресурсов для легитимных пользователей.

Поддержание целостности данныхПредотвращение избыточных запросов помогает защитить целостность данных о личности и точность процессов верификации, таких как проверка удостоверений и проверка живости.

Многоуровневая защита DiditDidit реализует комплексные глобальные и специфичные для конечных точек ограничения скорости, а также чёткие заголовки X-RateLimit и рекомендации для клиентов, чтобы эффективно защитить свою платформу идентификации.

Критическая роль ограничения скорости запросов в верификации личности

В современном цифровом мире верификация личности имеет первостепенное значение для доверия и безопасности. Компании полагаются на API для выполнения критически важных проверок, таких как верификация документов, обнаружение живости и проверка на соответствие AML. Однако эти мощные конечные точки также являются основными целями для злоумышленников. Без надлежащих мер безопасности они могут быть использованы для кражи данных, мошенничества или просто для нарушения работы служб посредством атак типа «отказ в обслуживании» (DoS). Именно здесь ограничение скорости запросов и троттлинг API становятся незаменимыми.

Ограничение скорости запросов — это стратегия контроля количества запросов, которые клиент может сделать к API в течение заданного периода времени. Троттлинг, связанная концепция, включает динамическую регулировку скорости запросов на основе пропускной способности системы или предопределенных лимитов. Вместе они образуют важнейшую линию защиты, обеспечивая стабильность, безопасность и доступность вашей инфраструктуры верификации личности для легитимных пользователей. Представьте себе сценарий, когда злоумышленник пытается взломать миллионы проверок личности, используя украденные учетные данные; без ограничения скорости запросов это может быстро перегрузить ваши системы, что приведёт к сбоям в работе служб и потенциальным утечкам данных. Didit, со своей AI-платформой идентификации, глубоко понимает эти проблемы и встраивает многоуровневое ограничение скорости запросов непосредственно в свою архитектуру.

Понимание глобальных и специфичных для конечных точек лимитов

Эффективное ограничение скорости запросов требует тонкого подхода, различающего общее использование API и операции с высокой нагрузкой. Универсальный лимит может быть либо слишком ограничительным для обычных операций, либо слишком мягким для ресурсоёмких. Поэтому надёжная система использует как глобальные, так и специфичные для конечных точек лимиты.

Глобальные лимиты

Глобальные лимиты применяются к широким категориям запросов API. Например, Didit реализует глобальные лимиты в 300 запросов в минуту на приложение для всех конечных точек GET и ещё 300 запросов в минуту для всех конечных точек записи/удаления (POST, PATCH, DELETE). Эти общие потолки обеспечивают фундаментальный уровень защиты, действуя как барьер для общего потребления API. Они предназначены для предотвращения широкомасштабных злоупотреблений без излишнего влияния на нормальные операционные потоки.

Лимиты для конкретных конечных точек

Помимо глобальных лимитов, некоторые операции API по своей природе более ресурсоёмки или чувствительны, что требует более строгих мер контроля. Платформа Didit определяет дополнительные, более строгие области для таких высоконагруженных операций. Например:

• session-v2-create (POST /v2/session/): Эта конечная точка, имеющая решающее значение для инициирования рабочих процессов верификации личности, имеет выделенный лимит в 600 запросов в минуту. Это гарантирует, что, хотя создание сеансов происходит часто, оно не перегружает механизм оркестрации рабочих процессов.
• session-decision (GET /v2/session/<id>/decision/): Получение решений по сеансам регулируется до 100 запросов в минуту. Это предотвращает чрезмерный опрос, который может нагружать ресурсы базы данных, что особенно важно для получения результатов в реальном времени от таких процессов, как верификация личности и AML-проверка.
• session-generate-pdf (GET /session/<id>/generate-pdf/): Генерация PDF является операцией, ограниченной процессором, и, следовательно, ограничена 100 запросами в минуту для управления вычислительными затратами и обеспечения отзывчивости.

Этот многоуровневый подход обеспечивает точный контроль, оптимизируя производительность и безопасность на протяжении всего жизненного цикла верификации личности.

Лучшие практики клиента для обработки ограничений скорости запросов

В то время как поставщики API реализуют надёжное ограничение скорости запросов, клиенты также играют решающую роль в соблюдении этих лимитов и создании отказоустойчивых приложений. Когда API возвращает ответ 429 Too Many Requests, это не сбой, а указание на необходимость скорректировать шаблон запросов. API Didit, например, включает важные заголовки в ответы 429 для руководства клиентами:

• X-RateLimit-Limit: Максимальное количество запросов, разрешенных в текущем окне.
• X-RateLimit-Remaining: Количество оставшихся запросов в текущем окне.
• X-RateLimit-Reset: Время (в секундах эпохи), когда текущее окно ограничения скорости сбрасывается.
• Retry-After: Указывает, сколько времени нужно подождать, прежде чем делать новый запрос.

Для создания надёжной интеграции клиенты должны:

1. Отслеживать заголовки ограничения скорости: Активно следить за X-RateLimit-Remaining и начинать регулировать запросы, когда оно падает ниже определённого порога (например, 15% от X-RateLimit-Limit).
2. Реализовать экспоненциальную отсрочку: При получении ответов 429 немедленно не повторяйте попытку. Вместо этого реализуйте стратегию экспоненциальной отсрочки, увеличивая задержку между повторными попытками (например, 5 с → 10 с → 20 с → 40 с). Это предотвращает дальнейшую перегрузку API и позволяет ему восстановиться.
3. Вести журналы и оповещать: Регистрируйте случаи ответов 429 и инициированных повторных попыток. Это помогает выявлять постоянные всплески или потенциальные проблемы в шаблонах запросов вашего приложения, позволяя вашей команде исследовать и оптимизировать.

Соблюдение этих практик обеспечивает плавную и надёжную интеграцию вашего приложения со службами верификации личности, даже при различных условиях нагрузки.

Как Didit помогает защитить ваши рабочие процессы идентификации

Didit предоставляет комплексную AI-платформу идентификации, разработанную с нуля с учетом безопасности и масштабируемости. Наше многоуровневое ограничение скорости запросов — это лишь один из примеров того, как мы защищаем ваши операции и конфиденциальные пользовательские данные. С Didit вы получаете:

• Надёжная защита API: Наши глобальные и специфичные для конечных точек лимиты защищают от злоупотреблений, обеспечивая стабильность для критически важных служб, таких как верификация личности, пассивная и активная проверка живости, сопоставление лиц 1:1, а также AML-проверка и мониторинг.
• Оркестрованные рабочие процессы: Наша консоль без кода позволяет разрабатывать сложные процессы верификации, а наш бэкэнд интеллектуально управляет базовыми вызовами API, соблюдая все лимиты. Например, при создании ссылок для верификации или универсальных ссылок система эффективно обрабатывает создание сеансов и последующие проверки.
• Подход, ориентированный на разработчика: Didit предлагает чистые API и исчерпывающую документацию, включая подробные рекомендации по ограничению скорости запросов, что позволяет разработчикам создавать отказоустойчивые интеграции с первого дня. Наша модульная архитектура означает, что вы можете подключать и использовать проверки личности, не беспокоясь о базовой инфраструктуре.
• Масштабируемость и надёжность: Проактивно управляя трафиком API, Didit обеспечивает высокую доступность и производительность даже при пиковых нагрузках. Наша AI-платформа создана для глобального масштабирования, обрабатывая миллионы верификаций без ущерба для безопасности или скорости.

Приверженность Didit безопасности выходит за рамки ограничения скорости запросов, охватывая такие функции, как бесплатный базовый KYC, отсутствие платы за настройку и модель оплаты за успешную проверку, что делает надёжную верификацию личности доступной и эффективной для компаний любого размера.

Готовы начать?

Готовы увидеть Didit в действии? Получите бесплатную демонстрацию сегодня.

Начните бесплатно проверять личность с помощью бесплатного уровня Didit.