Единая пассивная проверка живости перед любым высокоценным действием. У ботов нет лица, которое можно предъявить — они не могут пройти. Вердикт менее чем за две секунды, $0.10 за проверку, 500 бесплатных каждый месяц.
Доверяют более 2000 организаций по всему миру.
Почему CAPTCHA перестала работать
Коммерческие фермы по решению CAPTCHA обходят hCaptcha и reCAPTCHA Enterprise за доли цента. Пассивная проверка живости требует того, чего у скрипта нет — реального человека перед реальной камерой. $0.10 за шлюз, менее двух секунд, 500 бесплатных каждый месяц.
Выберите необходимые проверки — удостоверение личности, проверка живости, сопоставление лиц, санкции, адрес, возраст, телефон, электронная почта, пользовательские вопросы. Перетащите их в поток на панели управления или отправьте тот же поток в наш API. Разветвляйте по условиям, проводите A/B-тесты, код не требуется.
Встраивайте нативно с помощью наших SDK для Web, iOS, Android, React Native или Flutter. Перенаправляйте на размещенную страницу. Или просто отправьте пользователю ссылку — по электронной почте, SMS, WhatsApp, куда угодно. Выберите то, что подходит вашему стеку.
Didit размещает камеру, световые подсказки, мобильную передачу и доступность. Пока пользователь находится в потоке, мы оцениваем более 200 сигналов мошенничества в реальном времени и проверяем каждое поле по авторитетным источникам данных. Результат менее чем за две секунды.
Подписанные веб-хуки в реальном времени синхронизируют вашу базу данных в тот момент, когда пользователь одобрен, отклонен или отправлен на проверку. Опрашивайте API по запросу. Или откройте консоль, чтобы проверить каждую сессию, каждый сигнал и управлять случаями по-своему.
Didit · Карта поверхности
Didit · Пассивная проверка живости
Держитесь неподвижно · 1 из 1
Посмотрите в камеру
Didit · Защита от бот-векторов
Didit · Анализ устройства и IP
Didit · Многоразовый KYC
Первый проход
Повтор
Didit · Вебхук · X-Signature-V2
{
"session_id": "abc-…",
"vendor_data": "signup-918",
"status": "Approved",
"liveness": { "status": "Approved" }
}$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_bot_gate",
"vendor_data": "signup-918",
"metadata": { "surface": "signup_form" }
}'status: Approved.документы →// X-Signature-V2 verified upstream
if (полезная нагрузка.status === "Одобрено") {
разрешитьРегистрацию(полезная нагрузка.данные_поставщика);
} иначе если (полезная нагрузка.status === "Отклонено") {
ограничитьIP(полезная нагрузка.анализ_ip.ip);
заблокироватьИЗаписать(полезная нагрузка.данные_поставщика);
}X-Signature-V2 перед чтением полезной нагрузки.документы →You are integrating Didit Passive Liveness as a bot-gate on a high-value action — sign-up, leaderboard submission, airdrop / token claim, referral payout, comment, or ticket queue. Bots cannot pass Passive Liveness because they have no face to present to the camera. One API call. One signed webhook. One decision.
WHY THIS SHAPE
- Bots scale because they cost nothing per attempt. CAPTCHA stops the dumbest ones but commercial solver farms beat hCaptcha and reCAPTCHA Enterprise at fractions of a cent per solve.
- Passive Liveness asks for something a script does not have: a live human face in front of a real camera. The model decides on one frame, in under two seconds, with no user interaction beyond "hold still".
- $0.10 per check (Passive Liveness module). 500 verifications free every month. Combine with $0.03 IP / device pre-screen to keep the camera off the obvious bots and the budget on real candidates.
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
- A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
- A Workflow Builder workflow containing the Passive Liveness module — optionally Device & IP Analysis pre-step.
- The high-value action wrapped in a server-side gate that defaults to BLOCK and only unblocks on a verified webhook with status: Approved.
STEP 1 — (Optional) Cheap IP / device pre-screen
Before opening a camera, score the network with Device & IP Analysis ($0.03 / call, under 100ms).
If the score is low and no datacenter / VPN / scripted-user-agent flags fire, run Step 2.
If the score is high or any of those flags fire, skip the liveness call and decline up-front — this saves the camera budget for plausible humans.
STEP 2 — Open a Passive Liveness session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id with the Passive Liveness module>",
"vendor_data": "<your action / user id, max 256 chars>",
"callback": "https://<your-app>/bot-gate/callback",
"metadata": {
"surface": "signup_form",
"action_id": "<your internal reference>"
}
}
Response: 201 Created with a hosted session URL. Redirect inline (web) or open in a Software Development Kit (SDK) webview (mobile). The action stays BLOCKED on your side until the signed webhook lands.
STEP 3 — Read the signed webhook
Didit POSTs the verdict. Verify X-Signature-V2 (HMAC SHA-256 of the raw body using your webhook secret) BEFORE reading the JSON.
Payload (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your action / user id>",
"status": "Approved",
"liveness": { "status": "Approved" }
}
Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
STEP 4 — Branch the action
Approved → allow the sign-up / claim / submission.
Declined → block the action. Log liveness warnings (image-only / virtual-cam / replay / deepfake) and throttle the source IP.
Not Finished → invite the user to retry with a fresh session URL.
Expired → session timed out. Resend the link.
Abandoned → the user closed the flow before completing. Resend the link.
STEP 5 — (Optional) Replay Reusable Know Your Customer (KYC) for known humans
If a user has previously completed a Didit-verified session, a fresh liveness check is not required for re-entry — they can replay their verified credential at no cost via Didit Reusable KYC. Use the user's existing session_id to confirm enrollment and skip Step 2. Free forever.
WEBHOOK EVENT NAMES
- Sessions: standard session webhook. One endpoint, status field tells you where in the lifecycle.
- Verify X-Signature-V2 (HMAC SHA-256) on every payload.
WHAT GETS BLOCKED
- Headless Chrome with scripted form submission
- Browser-automation farms (Puppeteer, Playwright, Selenium)
- Image-only submissions (no camera attached)
- Virtual-camera AI face injectors
- Pre-recorded screen replays
- Print or paper attacks
- Silicone / latex masks
- AI-generated deepfake faces
All independently tested at iBeta and certified at Level 1 Presentation Attack Detection (PAD) against the full ISO/IEC 30107-3 catalogue. Re-tested every year.
CONSTRAINTS
- Session statuses use Title Case With Spaces. Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API.
- Default to BLOCK on the server. Only unblock when the verified webhook says Approved.
- 200+ fraud signals are evaluated on every session at no extra cost — read them off the decision payload, don't re-query.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/liveness/overview
- https://docs.didit.me/core-technology/ip-analysis/overview
- https://docs.didit.me/core-technology/reusable-kyc/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / месяц. Кредитная карта не требуется.
Платите только за то, что используете. Более 25 модулей. Публичные цены за модуль, без ежемесячной минимальной платы.
Индивидуальные MSA и SLA. Для больших объемов и регулируемых программ.
Начните бесплатно → платите только при выполнении проверки → разблокируйте Enterprise для индивидуального контракта, SLA или хранения данных.
Единый API для KYC, KYB, мониторинга транзакций и проверки кошельков. Интеграция за 5 минут.