नामांकित पोर्ट्रेट के विरुद्ध 2 सेकंड से कम के फेस मैच के साथ संवेदनशील प्रवाह को बढ़ाएँ। फ़िशिंग-प्रतिरोधी। सिम-स्वैप-प्रूफ। प्रति प्रमाणीकरण $0.10। हर महीने 500 सत्यापन मुफ़्त।
दुनिया भर में 2,000+ संगठनों द्वारा विश्वसनीय।
फ़िशिंग-प्रतिरोधी · सिम-स्वैप-प्रूफ
दूसरा कारक उपयोगकर्ता का चेहरा है, जो साइन-अप के समय नामांकित पोर्ट्रेट के विरुद्ध 1:1 मिलान किया जाता है। लाइवनेस प्रिंट / रीप्ले / मास्क / जनरेटिव एडवर्सरियल नेटवर्क (GAN) हमले को उसी फ्रेम पर ब्लॉक करता है। एंट्री-लेवल एंड्रॉइड पर 2 सेकंड से कम का निर्णय। प्रति प्रमाणीकरण $0.10। हर महीने 500 सत्यापन मुफ़्त।
आप जो चेक चाहते हैं उन्हें चुनें — आईडी, लाइवनेस, फेस मैच, प्रतिबंध, पता, आयु, फोन, ईमेल, कस्टम प्रश्न। उन्हें डैशबोर्ड में एक प्रवाह में खींचें, या हमारे एपीआई पर वही प्रवाह पोस्ट करें। शर्तों पर शाखा, ए/बी परीक्षण चलाएं, किसी कोड की आवश्यकता नहीं है।
हमारे वेब, आईओएस, एंड्रॉइड, रिएक्ट नेटिव, या फ्लटर एसडीके के साथ मूल रूप से एम्बेड करें। एक होस्ट किए गए पृष्ठ पर रीडायरेक्ट करें। या बस अपने उपयोगकर्ता को एक लिंक भेजें — ईमेल, एसएमएस, व्हाट्सएप, कहीं भी। चुनें कि आपके स्टैक के लिए क्या उपयुक्त है।
डिडिट कैमरा, लाइटिंग क्यू, मोबाइल हैंड-ऑफ और एक्सेसिबिलिटी को होस्ट करता है। जब उपयोगकर्ता प्रवाह में होता है, तो हम वास्तविक समय में 200+ धोखाधड़ी संकेतों को स्कोर करते हैं और आधिकारिक डेटा स्रोतों के विरुद्ध हर फ़ील्ड को सत्यापित करते हैं। दो सेकंड से कम समय में परिणाम।
वास्तविक समय के हस्ताक्षरित वेबहुक आपके डेटाबेस को उस क्षण सिंक में रखते हैं जब कोई उपयोगकर्ता स्वीकृत, अस्वीकृत या समीक्षा के लिए भेजा जाता है। मांग पर एपीआई को पोल करें। या हर सत्र, हर सिग्नल का निरीक्षण करने और अपने तरीके से मामलों का प्रबंधन करने के लिए कंसोल खोलें।
Didit · बायोमेट्रिक प्रमाणीकरण
स्थानांतरण की पुष्टि करें
अधिकृत करने के लिए अपना चेहरा दिखाएं
Didit · फेस मैच 1:1
नामांकित
समानता
0.96
मिलानलाइव
Didit · अटैक मैट्रिक्स
Didit · स्टेप-अप ट्रिगर
Didit · वेबहुक · X-Signature-V2
पेलोड
{
"session_id": "<uuid>",
"vendor_data": "user-42",
"status": "Approved",
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}Didit · अर्थशास्त्र
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-d '{
"workflow_id": "wf_bio_2fa",
"workflow_type": "biometric_authentication",
"vendor_data": "user-42",
// base64 reference selfie, ≤ 1MB (omit for liveness-only)
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'portrait_image के विरुद्ध LIVENESS + FACE_MATCH चलाता है।दस्तावेज़ →$ curl -X POST https://verification.didit.me/v3/face-match/ \
-H "x-api-key: $DIDIT_API_KEY" \
-F "image_a=@live.jpg" \
-F "image_b=@enrolled.jpg"You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.
1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.
Pricing (public):
- Biometric Authentication: $0.10 per authentication (Sessions API)
- Standalone Face Match 1:1: $0.05 per match (server-to-server)
- First 500 verifications free every month, forever
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
- The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
- A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).
STEP 1 — Enrolment (one-time, at user sign-up)
Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.
POST https://verification.didit.me/v3/session/
Body:
{
"workflow_id": "<your KYC workflow>",
"vendor_data": "<your user id>"
}
No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.
STEP 2 — Re-authentication (on every sensitive action)
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<your biometric_authentication workflow>",
"workflow_type": "biometric_authentication",
"vendor_data": "<the same user id used at enrolment>",
"callback": "https://<your-app>/2fa/callback",
"metadata": {
"reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
"amount": "<optional, for large-value transfers>"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
}
Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
- Opens the front camera
- Captures one passive frame
- Runs Liveness + Face Match 1:1 against the user's enrolled portrait
- Returns the verdict in sub-2-seconds
STEP 3 — Read the signed verdict on the webhook
Body (excerpted for a passing re-auth):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
"face": {
"status": "Approved",
"similarity_score": 0.96
}
}
Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.
Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Branch your application:
Approved → execute the action (sign in, release the transfer, save settings).
Declined → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
In Review → hold; route to your operations queue.
Not Finished → user abandoned the capture; safe to re-prompt or fall back.
STEP 4 — Alternate path (server-to-server, when you already have the selfie)
If you already captured the selfie locally (native mobile SDK, in-app camera):
POST https://verification.didit.me/v3/face-match/
Headers:
x-api-key: <your api key>
Body (multipart/form-data):
image_a <the live selfie>
image_b <the enrolled portrait>
Response: similarity_score (0-1), status (Approved | Declined | In Review).
Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
- Always verify X-Signature-V2 on every payload.
CONSTRAINTS
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
- The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.
PRO TIPS
- Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
- For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.
Read the docs:
- https://docs.didit.me/core-technology/biometric-auth/overview
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / महीना। कोई क्रेडिट कार्ड आवश्यक नहीं।
आप जितना उपयोग करते हैं, केवल उसी का भुगतान करें। 25+ मॉड्यूल। प्रति-मॉड्यूल सार्वजनिक मूल्य निर्धारण, कोई मासिक न्यूनतम शुल्क नहीं।
कस्टम MSA और SLA। बड़ी मात्रा और विनियमित कार्यक्रमों के लिए।
मुफ्त में शुरू करें → केवल तभी भुगतान करें जब कोई जाँच चलती है → कस्टम अनुबंध, SLA, या डेटा रेजीडेंसी के लिए एंटरप्राइज़ अनलॉक करें।
Didit पहचान और धोखाधड़ी के लिए बुनियादी ढांचा है — वह प्लेटफ़ॉर्म जिसकी हमने खुद उत्पाद बनाते समय कामना की थी: खुला, लचीला और डेवलपर-अनुकूल, ताकि यह आपके स्टैक के एक वास्तविक हिस्से के रूप में काम करे, न कि एक ब्लैक बॉक्स के रूप में जिसे आप एकीकृत करते हैं।
एक API लोगों को सत्यापित करने (KYC, अपने ग्राहक को जानें), व्यवसायों को सत्यापित करने (KYB, अपने व्यवसाय को जानें), क्रिप्टो वॉलेट की स्क्रीनिंग (KYT, अपने लेनदेन को जानें), और वास्तविक समय में लेनदेन की निगरानी को कवर करता है — एक ऐसे स्टैक पर बनाया गया है जो होगा:
नीचे का पदचिह्न: 14,000+ दस्तावेज़ प्रकार 48+ भाषाओं में, 1,000+ डेटा स्रोत, और प्रत्येक सत्र पर 200+ धोखाधड़ी संकेत। Didit बुनियादी ढांचा प्रत्येक सत्र से गतिशील रूप से सीखता है और हर दिन बेहतर होता जाता है।
उपयोगकर्ता के चेहरे का उपयोग करके दूसरा-कारक प्रमाणीकरण, नेटवर्क पर भेजे गए कोड का नहीं। पहला कारक वह है जो उपयोगकर्ता जानता है (पासवर्ड, पासकी, मैजिक लिंक)। दूसरा कारक वह है जो उपयोगकर्ता है — एक लाइव सेल्फी जो उपयोगकर्ता द्वारा पहले नामांकित पोर्ट्रेट के विरुद्ध 1:1 मिलान की जाती है।
यह आपके एप्लिकेशन प्रवाह में SMS वन-टाइम-पासवर्ड (OTP) के समान स्थान पर बैठता है, लेकिन एक अलग लागत, सुरक्षा और रूपांतरण प्रोफ़ाइल के साथ।
चार अच्छी तरह से प्रलेखित हमला वर्ग इसे हरा देते हैं। अमेरिकी संघीय जांच ब्यूरो (FBI) और यूके राष्ट्रीय साइबर सुरक्षा केंद्र (NCSC) दोनों ने संवेदनशील प्रवाह के लिए SMS से दूर रहने के लिए संगठनों को मार्गदर्शन प्रकाशित किया है।
पूरा प्रवाह सामान्य रूप से अंत-से-अंत तक 30 सेकंड से कम समय लेता है — ID उठाएं, दस्तावेज़ स्नैप करें, सेल्फी स्नैप करें, हो गया। यह बाजार में सबसे तेज़ है। विरासत KYC प्रदाताओं को उसी प्रवाह के लिए आमतौर पर 90 सेकंड से अधिक लगते हैं।
बैक एंड पर, Didit p99 पर दो सेकंड से कम में परिणाम लौटाता है, उपयोगकर्ता द्वारा सेल्फी समाप्त करने के क्षण से लेकर आपके वेबहुक के फायर होने के क्षण तक मापा जाता है। मोबाइल कैप्चर धीमे फोन और धीमे नेटवर्क के लिए ट्यून किया गया है: प्रगतिशील छवि संपीड़न, आलसी सॉफ्टवेयर डेवलपमेंट किट लोड, और यदि उपयोगकर्ता वेब पर शुरू होता है तो QR कोड के माध्यम से डेस्कटॉप से फोन पर एक-टैप हैंड-ऑफ।
अधिकांश टीमें उपयोगकर्ता के मूल Know Your Customer (KYC) सत्र के दौरान नामांकन करती हैं। जीवंतता चरण द्वारा कैप्चर किया गया पोर्ट्रेट आपके vendor_data से बंधा हुआ संग्रहीत किया जाता है और प्रत्येक बाद के पुन: प्रमाणीकरण के लिए टेम्पलेट के रूप में उपयोग किया जाता है।
यदि आप साइन-अप पर KYC नहीं चलाते हैं, तो आप एक Didit वर्कफ़्लो के विरुद्ध एक-बार नामांकन सत्र चला सकते हैं जिसमें केवल LIVENESS + FACE_MATCH शामिल है। दोनों रास्तों की लागत एक बार $0.10 है, और परिणामी टेम्पलेट हर भविष्य के प्रमाणीकरण के लिए पुन: प्रयोज्य है।
प्रत्येक सत्र सात स्पष्ट स्थितियों में से एक पर आता है, इसलिए आपका कोड हमेशा जानता है कि क्या करना है:
Approved — हर जांच पास हो गई। उपयोगकर्ता को आगे बढ़ाएं।Declined — एक या अधिक जांच विफल हो गईं। आप उपयोगकर्ता को विशिष्ट विफल चरण को फिर से सबमिट करने की अनुमति दे सकते हैं (उदाहरण के लिए, सेल्फी फिर से लें) पूरे प्रवाह को फिर से चलाए बिना।In Review — अनुपालन समीक्षा के लिए चिह्नित। कंसोल में केस खोलें, हर सिग्नल देखें, अनुमोदित या अस्वीकृत करने का निर्णय लें।In Progress — उपयोगकर्ता प्रवाह के बीच में है।Not Started — लिंक भेजा गया, उपयोगकर्ता ने अभी तक इसे नहीं खोला है। यदि यह बहुत देर तक रहता है तो एक अनुस्मारक भेजें।Abandoned — उपयोगकर्ता ने लिंक खोला लेकिन समय पर समाप्त नहीं किया। फिर से संलग्न करें या समाप्त करें।Expired — सत्र लिंक पुराना हो गया। एक नया सत्र बनाएं।प्रत्येक स्थिति परिवर्तन पर एक हस्ताक्षरित वेबहुक फायर होता है, इसलिए आपका डेटाबेस हमेशा सिंक में रहता है। छोड़े गए और अस्वीकृत सत्र मुफ्त हैं।
उत्पादन डेटा को डिफ़ॉल्ट रूप से यूरोपीय संघ में संसाधित और संग्रहीत किया जाता है, अमेज़ॅन वेब सर्विसेज पर। एंटरप्राइज़ अनुबंध उन न्यायालयों के लिए वैकल्पिक क्षेत्रों का अनुरोध कर सकते हैं जिनके नियामकों को इसकी आवश्यकता है।
हर जगह एन्क्रिप्शन। प्रत्येक डेटाबेस, ऑब्जेक्ट स्टोर और बैकअप में AES-256 रेस्ट पर। प्रत्येक API कॉल, वेबहुक और Business Console सत्र पर ट्रांसपोर्ट लेयर सिक्योरिटी 1.3 ट्रांजिट में। बायोमेट्रिक डेटा एक अलग ग्राहक मास्टर कुंजी के तहत एन्क्रिप्ट किया गया है।
प्रतिधारण आपके नियंत्रण में है। डिफ़ॉल्ट प्रतिधारण अनिश्चित (असीमित) है जब तक कि आप कम कॉन्फ़िगर न करें — प्रति एप्लिकेशन 30 दिन और 10 साल के बीच — और आप डैशबोर्ड या API से किसी भी समय किसी भी व्यक्तिगत सत्र को हटा सकते हैं।
प्रमाणपत्र: SOC 2 Type 1 (Type 2 ऑडिट प्रगति पर है), ISO/IEC 27001:2022, iBeta Level 1 PAD, और स्पेन के Tesoro / SEPBLAC / CNMV से एक सार्वजनिक प्रमाणन कि Didit का दूरस्थ पहचान सत्यापन व्यक्तिगत रूप से किसी को सत्यापित करने से अधिक सुरक्षित है। पूरी रिपोर्ट /security-compliance पर।
Didit उन नियामकों के लिए डिफ़ॉल्ट रूप से अनुपालन करता है जो पहचान बुनियादी ढांचे के लिए महत्वपूर्ण हैं:
विस्तृत मेमो, हर प्रमाण पत्र, हर नियामक पत्र: /security-compliance।
तीन एकीकरण पथ — जो भी आपके स्टैक के अनुकूल हो उसे चुनें:
सभी तीनों के लिए समान डैशबोर्ड, समान बिलिंग, समान पे-पर-सक्सेस मूल्य। docs.didit.me/integration/integration-prompt पर चरण-दर-चरण मार्गदर्शिका।
यह आपके मौजूदा वन-टाइम-पासवर्ड कॉलबैक अनुबंध के लिए एक ड्रॉप-इन है।
workflow_type: "biometric_authentication" और नामांकन के समय आपके द्वारा उपयोग किए गए समान vendor_data के साथ POST /v3/session/।session_url पर रीडायरेक्ट करें।X-Signature-V2 हेडर को सत्यापित करें।status पर ब्रांच करें — Approved (कार्रवाई निष्पादित करें), Declined (ब्लॉक करें), In Review (कतार), Not Finished (फिर से प्रॉम्प्ट करें)।अधिकांश टीमें एक सप्ताहांत में SMS को चेहरे से बदल देती हैं। पूर्ण एजेंट-पेस्ट करने योग्य प्रॉम्प्ट ऊपर है; मॉडल कॉन्टेक्स्ट प्रोटोकॉल (MCP) सर्वर दोनों सतहों पर बात करता है।
फेस मैच 1:1 मध्यम उपस्थिति परिवर्तन के लिए मजबूत है — चेहरे के बाल, चश्मा, बालों का रंग, प्रकाश व्यवस्था। प्रति प्रमाणीकरण लौटाया गया समानता स्कोर दर्शाता है कि मॉडल कितना आश्वस्त है।
उन उपयोगकर्ताओं के लिए जो ऑटो-अनुमोदन सीमा से बाहर हो जाते हैं (विशिष्ट मामला: नाटकीय वजन परिवर्तन, सर्जरी, कई वर्षों में उम्र बढ़ना), निर्णय In Review लौटाता है और आपकी संचालन कतार में रूट करता है। मानक पुनर्प्राप्ति पथ एक पुन: नामांकन सत्र है — एक KYC कॉल पोर्ट्रेट को ताज़ा करता है, और अगला प्रमाणीकरण नए टेम्पलेट का उपयोग करता है।
अंतर्निहितता श्रेणी के लिए हाँ। मजबूत ग्राहक प्रमाणीकरण पर यूरोपीय बैंकिंग प्राधिकरण नियामक तकनीकी मानक बायोमेट्रिक विशेषताओं (कुछ आप हैं) को एक वैध दूसरे कारक के रूप में पहचानते हैं जब अन्य दो श्रेणियों (ज्ञान या कब्ज़ा) में से एक के साथ जोड़ा जाता है।
एक पूर्ण PSD2 मजबूत-ग्राहक-प्रमाणीकरण प्रवाह के लिए, बायोमेट्रिक 2FA को उपयोगकर्ता के पासवर्ड (ज्ञान) या डिवाइस-बाउंड सत्र (कब्ज़ा) के साथ जोड़ें। हस्ताक्षरित Didit निर्णय अंतर्निहितता कारक का ऑडिट-पैक प्रमाण है।
KYC, KYB, लेनदेन निगरानी और वॉलेट स्क्रीनिंग के लिए एक API। 5 मिनट में एकीकृत करें।