博客 · 2026年3月12日

开发者指南：通过Webhook实现动态AML政策执行 (ZH)

了解如何通过Webhook实现实时、动态的反洗钱（AML）政策执行。本指南涵盖签名验证、数据保留，以及Didit模块化、AI原生平台如何简化合规性和欺诈预防。.

作者：Didit2026年3月12日更新于 2026年5月21日

developers-guide-dynamic-aml-policy-enforcement-with-webhooks.png

实时合规 Webhook能够即时通知身份验证结果，这对于动态AML政策执行和快速响应风险变化至关重要。

增强安全性 实施强大的签名验证（HMAC-SHA256）对于确保Webhook载荷的真实性和完整性至关重要，可防止篡改和欺骗。

数据隐私与保留 在Didit等平台中可配置的有效数据保留策略对于遵守GDPR和负责任地管理敏感用户数据至关重要，并允许灵活的存储选项。

Didit的优势 Didit提供以开发者为中心的方法，包括安全的Webhook、可配置的数据保留和模块化架构，实现无缝集成，并提供免费的核心KYC和AI原生工具，用于高级AML筛选和监控。

Webhook在反洗钱合规中的力量

在快速发展的金融法规和反洗钱（AML）要求中，静态合规检查已不足够。企业需要能够实时响应新信息和新兴威胁的动态系统。Webhook在这方面是一个游戏规则的改变者，它提供了一种自动的、事件驱动的机制，一旦身份验证结果可用，即可执行AML政策。

Webhook不是持续轮询API以获取更新，而是在发生重大事件时（例如身份验证会话完成或用户风险状况发生变化）将通知推送到您的应用程序。这种实时功能允许立即采取行动，无论是标记可疑交易、更新用户的合规状态，还是触发进一步调查。对于利用Didit的AML筛选和监控的企业，Webhook确保任何高风险匹配或观察列表警报都能即时传达，从而实现迅速果断的行动。

有效实施Webhook意味着您的系统可以保持敏捷，缩短非法活动的机会窗口，并确保持续遵守监管规定。这种主动方法最大限度地减少了人工干预，降低了运营成本，并显著增强了您的整体欺诈预防策略。

实施安全Webhook：开发者清单

虽然Webhook的优势显而易见，但其实施需要对安全性和可靠性给予高度关注。以下是构建强大Webhook端点的开发者清单：

专用端点： 在您的应用程序中创建一个专门用于接收Webhook载荷的POST端点（例如，/api/webhooks/didit）。这使您的架构保持整洁和专注。
原始正文处理： 至关重要的是，您的端点必须在任何JSON解析之前读取原始请求正文。这对于签名验证至关重要，因为解析可能会改变正文的格式，从而使签名失效。
HMAC-SHA256签名验证： 这是您抵御欺骗或篡改载荷的主要防御措施。例如，Didit在X-Signature标头中发送签名。您必须使用Didit提供的共享密钥（通过管理API的GET /v3/webhook/端点可检索）计算原始载荷的HMAC-SHA256哈希值，并将其与收到的签名进行比较。如果它们不匹配，则载荷已被破坏，应予以拒绝。
时间戳验证： Webhook应包含时间戳。验证时间戳是否新鲜，通常在5分钟内，以缓解重放攻击（即旧载荷被重新发送）。Didit的V3 API Webhook格式包含此功能，以增强安全性。
异步处理： Webhook端点应快速响应（在几秒钟内）。如果处理载荷需要更长时间，请立即用2xx HTTP状态码确认收到，然后将处理排队到后台任务。这可以防止发送方不必要地重试Webhook。
幂等性： 将您的Webhook处理程序设计为幂等。这意味着多次处理相同的Webhook载荷（由于重试）应与处理一次具有相同的效果，从而防止重复数据或意外的副作用。

Didit以开发者为中心的方法提供清晰的文档和示例（Node.js、Python、PHP），用于安全的Webhook集成，确保您可以自信地处理实时KYC通知。

数据保留和隐私合规

数据保留管理是AML合规和整体数据隐私的关键方面，尤其是在GDPR等法规下。作为数据控制者，您负责定义敏感用户数据的存储时长。Didit作为数据处理者，提供灵活的控制措施来帮助您履行这些义务。

通过Didit，您可以直接在业务控制台中配置数据保留策略，选择从1个月到10年甚至无限制的保留期限。此策略适用于所有验证输入、输出、派生结果和操作元数据。这种精细的控制对于平衡合规要求和最小化数据暴露的需求至关重要。对于企业账户，Didit甚至提供境内处理以实现本地数据驻留，支持严格的本地数据保护制度。

通过利用Webhook，您可以有效地检索验证结果，然后配置Didit在指定期限后清除数据，确保您只在法律要求的时间内保留数据。这种保护隐私的方法，结合Didit的安全基础设施，使您能够构建合规且值得信赖的身份验证工作流程。

Didit如何提供帮助

Didit旨在成为AI原生、开发者优先的身份平台，简化复杂的AML和KYC挑战。我们的模块化架构和简洁的API使开发者能够轻松集成高级身份验证功能。Didit具体提供以下帮助：

实时AML筛选与监控： Didit强大的AML筛选与监控产品与Webhook无缝集成，为制裁、PEP和不良媒体匹配提供即时警报。这使得您的AML政策能够动态执行，确保您始终掌握用户的风险状况。
安全可靠的Webhook： Didit提供安全的Webhook基础设施，包括HMAC-SHA256签名验证和V3 API载荷格式。我们的文档提供实用的示例和集成指导，确保您收到真实、未篡改的数据以进行实时决策。
可配置的数据保留： 通过Didit灵活的数据保留控制，满足您的隐私和合规义务。您可以定义验证数据的存储时长，支持GDPR和其他数据保护法规。
免费核心KYC： 免费开始使用基本的身份验证。Didit的免费核心KYC允许您在没有初始投资的情况下实施基础检查，并随着需求增长而扩展。
AI原生和模块化： 我们的AI原生平台确保了ID验证、被动和主动活体检测以及1:1人脸匹配的高准确性，而模块化设计让您可以选择所需的身份原语，创建自定义、协调的工作流程，无需设置费用。
开发者优先体验： 凭借即时沙盒、全面的公共文档和简洁的API，Didit优先考虑开发者体验，使集成变得简单高效。

准备好开始了吗？

准备好了解Didit的实际应用了吗？立即获取免费演示。

使用Didit的免费套餐免费开始验证身份。