Blogu · 6 Machi 2026

Linda Seva Yako ya Node.js: Uthibitishaji wa HMAC kwa Webhooks za Didit (SW)

Kutekeleza hatua thabiti za usalama kwa webhooks ni muhimu kwa uadilifu wa data na kuzuia ufikiaji usioidhinishwa. Mwongozo huu unazingatia uthibitishaji wa saini ya HMAC kwa webhooks za Didit katika Node.

Na Didit6 Machi 2026Imesasishwa 21 Mei 2026

secure-your-nodejs-backend-hmac-validation-for-didit-webhooks.png

Linda Uadilifu wa DataUthibitishaji wa saini ya HMAC ni muhimu kwa kuthibitisha uhalisi na uadilifu wa malipo ya webhook, kulinda seva yako kutoka kwa maombi yaliyobadilishwa au ya ulaghai.

Zuia Mashambulizi ya KurudiaUthibitishaji wa muda, pamoja na saini za HMAC, huongeza safu muhimu ya ulinzi dhidi ya mashambulizi ya kurudia, kuhakikisha kuwa arifa mpya tu ndizo zinazochakatwa.

Ujumuishaji RahisiMbinu ya Didit inayoweka msanidi kwanza inatoa nyaraka na zana zilizo wazi, kurahisisha ujumuishaji wa uchakataji salama wa webhook katika programu yako ya Node.js na kuifanya iwe na ufanisi.

Miundombinu Salama ya DiditJukwaa la Didit limejengwa kwa kuzingatia usalama, likitoa arifa za KYC za wakati halisi kupitia webhooks na uthibitishaji thabiti wa saini ya HMAC, kukuwezesha kujenga suluhisho za utambulisho zinazoaminika na zinazofaa.

Umuhimu Mkubwa wa Usalama wa Webhook

Webhooks ni zana zenye nguvu kwa mawasiliano ya wakati halisi kati ya huduma, kuwezesha masasisho ya papo hapo na usanifu unaoendeshwa na matukio. Katika muktadha wa uthibitishaji wa utambulisho, Didit hutumia webhooks kuarifu seva yako kuhusu kukamilika kwa vikao vya uthibitishaji, matokeo ya uchunguzi wa AML, au matukio mengine muhimu yanayohusiana na utambulisho. Ingawa zina ufanisi wa ajabu, webhooks pia huleta changamoto za kiusalama. Bila uthibitishaji sahihi, mhusika mwenye nia mbaya anaweza kutuma malipo ya webhook bandia au yaliyobadilishwa, na kusababisha uchakataji wa data usio sahihi, vitendo visivyoidhinishwa, au hata ukiukaji wa mfumo.

Hapa ndipo uthibitishaji wa saini ya HMAC (Hash-based Message Authentication Code) unakuwa muhimu. HMAC hutoa utaratibu wa kriptografia kuthibitisha uhalisi na uadilifu wa ujumbe. Kwa kutumia funguo ya siri inayojulikana tu na Didit na programu yako, seva yako inaweza kuhakikisha kuwa malipo ya webhook yalitoka Didit na hayajabadilishwa wakati wa kusafiri. Kwa mfumo wowote unaoshughulikia data nyeti ya utambulisho, kama ile inayochakatwa na huduma za Uthibitishaji wa Vitambulisho vya Didit, Uchunguzi wa AML, au Uthibitisho wa Anwani, kiwango hiki cha usalama sio tu mazoezi bora—ni lazima.

Kuelewa Uthibitishaji wa Saini ya HMAC

Uthibitishaji wa HMAC hufanya kazi kwa kuzalisha saini ya kipekee kwa kila malipo ya webhook kwa kutumia funguo ya siri inayojulikana tu na Didit na programu yako. Wakati seva yako ya Node.js inapopokea webhook, inafanya hesabu hiyo hiyo ya saini kwa kutumia nakala yake ya funguo ya siri. Ikiwa saini iliyohesabiwa inalingana na saini iliyotolewa kwenye vichwa vya webhook, unaweza kuwa na uhakika kwamba malipo ni halisi na hayajabadilishwa.

Webhooks za Didit zinajumuisha kichwa cha X-Signature chenye saini ya HMAC-SHA256 na kichwa cha X-Timestamp. Muda ni muhimu kwa kuzuia mashambulizi ya kurudia. Shambulio la kurudia hutokea wakati mshambuliaji anazuia webhook halali na kuituma tena baadaye. Kwa kuthibitisha kuwa muda ni mpya (k.m., ndani ya dirisha la dakika 5), unaweza kutupilia mbali maombi ya zamani, ambayo yanaweza kurudiwa.

Kutekeleza Uthibitishaji wa HMAC katika Node.js

Hebu tupitie hatua za kutekeleza uthibitishaji wa saini ya HMAC kwa webhooks za Didit katika programu ya Node.js Express. Utahitaji ufikiaji wa funguo yako ya siri ya webhook, ambayo inaweza kupatikana kwenye Didit Business Console yako au kupatikana kupitia API ya usimamizi.

1. Sanidi Sehemu Yako ya Mwisho ya Webhook

Kwanza, sanidi sehemu ya mwisho ya Express inayoweza kupokea maombi ya POST. Ni muhimu kufikia mwili ghafi wa ombi kabla ya programu yoyote ya kuchambua JSON, kwani saini huhesabiwa juu ya malipo ghafi.


const express = require('express');
const crypto = require('crypto');
const bodyParser = require('body-parser');

const app = express();
const DIDIT_WEBHOOK_SECRET = process.env.DIDIT_WEBHOOK_SECRET; // Hifadhi kwa usalama!

// Middleware ya kupata mwili ghafi
app.use(bodyParser.json({ verify: (req, res, buf) => {
  req.rawBody = buf.toString();
}}));

app.post('/api/webhooks/didit', (req, res) => {
  // Mantiki ya uchakataji wa Webhook itawekwa hapa
  res.status(200).send('Webhook imepokelewa');
});

app.listen(3000, () => console.log('Seva inaendesha kwenye port 3000'));

2. Thibitisha Saini ya HMAC

Ndani ya kishughulikia chako cha webhook, utatoa muda na saini kutoka kwenye vichwa, kuunda upya malipo yaliyosainiwa, na kulinganisha saini yako iliyohesabiwa na ile iliyotolewa na Didit.


app.post('/api/webhooks/didit', (req, res) => {
  const signatureHeader = req.headers['x-signature'];
  const timestampHeader = req.headers['x-timestamp'];
  const rawBody = req.rawBody;

  if (!signatureHeader || !timestampHeader || !rawBody) {
    return res.status(400).send('Vichwa vya webhook au mwili vimekosekana.');
  }

  const [algorithm, diditSignature] = signatureHeader.split('=');

  if (algorithm !== 'sha256') {
    return res.status(400).send('Algorithm ya saini isiyotumika.');
  }

  // Unda upya kamba ya malipo yaliyosainiwa
  const signedPayload = `${timestampHeader}.${rawBody}`;

  // Hesabu saini yako mwenyewe
  const expectedSignature = crypto
    .createHmac('sha256', DIDIT_WEBHOOK_SECRET)
    .update(signedPayload)
    .digest('hex');

  // Linganisha saini kwa usalama
  const signatureMatches = crypto.timingSafeEqual(
    Buffer.from(diditSignature, 'utf8'),
    Buffer.from(expectedSignature, 'utf8')
  );

  if (!signatureMatches) {
    console.warn('Saini ya Webhook hailingani!');
    return res.status(401).send('Saini batili.');
  }

  // Saini ni halali, sasa angalia muda
  // ... (uthibitishaji wa muda katika hatua inayofuata)

  // Chakata tukio
  console.log('Webhook imethibitishwa kwa mafanikio:', req.body);
  res.status(200).send('Webhook imepokelewa na kuchakatwa.');
});

3. Thibitisha Muda

Baada ya kuthibitisha saini, hakikisha kuwa webhook sio kurudia. Mazoezi ya kawaida ni kuruhusu dirisha dogo la uvumilivu (k.m., dakika 5) kwa ucheleweshaji wa mtandao.


// ... (ndani ya kishughulikia cha webhook, baada ya uthibitishaji wa saini)

  const fiveMinutesAgo = Date.now() / 1000 - (5 * 60); // Dakika 5 kwa sekunde
  const eventTimestamp = parseInt(timestampHeader, 10);

  if (isNaN(eventTimestamp) || eventTimestamp < fiveMinutesAgo) {
    console.warn('Muda wa Webhook ni mzee sana au batili!');
    return res.status(401).send('Muda batili au mzee.');
  }

  // Sasa unaweza kuchambua na kuchakata salama mwili wa JSON
  try {
    const event = JSON.parse(rawBody);
    console.log('Tukio la Didit lililochakatwa:', event);
    // Mfano: Sasisha hali ya mtumiaji kulingana na event.database_validation.status

    // Muundo wa Ripoti ya Uthibitishaji wa Hifadhidata ya Didit:
    // const validationStatus = event.database_validation.status;
    // const matchType = event.database_validation.match_type;
    // console.log(`Hali ya Uthibitishaji: ${validationStatus}, Aina ya Kulingana: ${matchType}`);

    res.status(200).send('Webhook imepokelewa na kuchakatwa.');
  } catch (error) {
    console.error('Hitilafu wakati wa kuchambua mwili wa webhook:', error);
    res.status(400).send('Mwili wa JSON batili.');
  }
});

Mbinu Bora za Kushughulikia Webhook

Hifadhi Siri kwa Usalama: Kamwe usiweke funguo yako ya siri ya webhook moja kwa moja kwenye nambari. Tumia vigezo vya mazingira au huduma salama ya usimamizi wa siri.
Idempotency: Buni vishughulikia vyako vya webhook kuwa idempotent. Hii inamaanisha kuwa kuchakata webhook ile ile mara nyingi (kwa sababu ya kurudia, kwa mfano) kunapaswa kuwa na athari sawa na kuichakata mara moja.
Uchakataji Usio Sawia: Kwa kazi zinazochukua muda mrefu, thibitisha webhook mara moja kwa jibu la 200 OK na kisha chakata malipo bila sawia kwa kutumia foleni ya ujumbe. Hii inazuia kukatika kwa muda na kuhakikisha Didit haendelei kurudia webhook.
Uwekaji Kumbukumbu na Ufuatiliaji: Tekeleza uwekaji kumbukumbu thabiti kwa webhooks zote zilizopokelewa, pamoja na kushindwa kwa uthibitishaji. Fuatilia sehemu yako ya mwisho ya webhook kwa shughuli zisizo za kawaida au viwango vya juu vya hitilafu.
Ushughulikiaji wa Hitilafu: Rudisha misimbo sahihi ya hali ya HTTP (k.m., 400 kwa ombi baya, 401 kwa isiyoidhinishwa, 500 kwa hitilafu za seva) kusaidia Didit kuelewa ikiwa kurudia ni muhimu.

Jinsi Didit Inasaidia

Didit imeundwa kuwa jukwaa la utambulisho la asili la AI, linaloweka msanidi kwanza, na kufanya ujumuishaji salama kama vile uchakataji wa webhook kuwa rahisi na wa kutegemewa. Usanifu wetu wa moduli unamaanisha kuwa unaweza kuunganisha kwa urahisi ukaguzi wa utambulisho, ikiwa ni pamoja na Uthibitishaji wa Kitambulisho, Liveness Passiv & Active, na Uchunguzi & Ufuatiliaji wa AML, na kupokea masasisho ya wakati halisi kupitia webhooks salama. Didit inatoa nyaraka na mifano wazi kwa kuunganisha webhooks, kuhakikisha unaweza kusanidi haraka njia thabiti na salama za mawasiliano.

Tunaamini katika kufanya uthibitishaji wa utambulisho upatikane na uwe na nguvu. Ndiyo sababu tunatoa KYC ya Msingi ya Bure, mfumo wa malipo kwa kila ukaguzi wenye mafanikio, na hakuna ada za usanidi kabisa. Kwa kutumia jukwaa la Didit, unapata ufikiaji wa suluhisho la kimataifa, linaloweza kupanuka ambalo linatoa uaminifu na kudhibiti hatari, huku ukidumisha viwango vya juu vya usalama, ikiwa ni pamoja na uthibitishaji wa saini ya HMAC kwa arifa za wakati halisi.

Uko Tayari Kuanza?

Uko tayari kuona Didit ikifanya kazi? Pata demo ya bure leo.

Anza kuthibitisha vitambulisho bure na ngazi ya bure ya Didit.