API 网关中的动态摩擦：金融科技开发人员指南 (ZH)

平衡之举在金融科技领域，实施动态摩擦至关重要，它允许企业根据实时风险调整安全措施，从而优化欺诈防范和用户体验。

基于风险的身份验证利用上下文数据点、行为分析和身份验证信号，以确定何时引入额外的安全步骤，例如多因素身份验证或增强型 KYC。

模块化身份验证利用灵活的、API 驱动的身份解决方案，这些解决方案可以进行组合和编排，仅在必要时引入摩擦，避免给合法用户带来不必要的障碍。

Didit 在自适应安全中的作用Didit 的 AI 原生模块化平台提供了基本构建块，如身份验证、活体检测和反洗钱筛查，以支持动态摩擦，使金融科技公司能够轻松实施智能的、风险自适应的安全工作流。

在快速发展的金融科技世界中，在强大的安全性和无缝用户体验之间取得适当的平衡至关重要。摩擦过多，客户会放弃其应用程序；摩擦过少，您就会成为欺诈者的目标。这就是 API 网关中动态摩擦发挥作用的地方。动态摩擦是指根据实时风险评估，自适应地调整呈现给用户的安全挑战级别的做法。对于开发人员来说，掌握这一概念是构建弹性且用户友好的金融科技应用程序的关键。

了解动态摩擦及其在金融科技中的重要性

动态摩擦并非对每个用户或每笔交易都应用相同的安全措施。相反，它关乎智能性和适应性。想象一下，一个用户从熟悉的设备和位置登录，而另一个用户试图从一个新的、不受信任的 IP 地址进行大额转账。前者可能只需要密码，而后者则应触发额外的验证步骤。这种自适应方法对于金融科技至关重要，原因如下：

• 欺诈防范：高风险活动或可疑行为可以立即被标记，从而触发更强的身份验证，例如生物识别检查或身份重新验证。Didit 的被动和主动活体检测以及 1:1 人脸比对和人脸搜索在此处非常宝贵，可确保与系统交互的人员是他们声称的本人，而不是深度伪造或冒名顶替者。
• 增强用户体验：合法用户，尤其是那些已建立信任的用户，可以享受更流畅的旅程，降低放弃率并提高转化率。不必要的摩擦是主要的阻碍因素。
• 法规遵从性：动态摩擦有助于满足不断变化的 KYC（了解您的客户）和 AML（反洗钱）要求，通过在达到风险阈值时允许更深入的身份验证。Didit 的 AML 筛查和监控功能确保用户根据制裁和 PEP 名单进行检查，作为基于风险的方法的一部分。
• 成本效益：通过仅在必要时实施增强的安全措施，企业可以优化资源分配，避免将最大安全性应用于每次交互所产生的成本。

构建自适应安全：关键组件

实施动态摩擦需要精心设计的架构，通常以您的 API 网关为中心。以下是核心组件：

1. 实时风险评估引擎

这是您的动态摩擦系统的大脑。它聚合和分析各种数据点，为每个用户交互生成风险评分。主要数据源包括：

• 行为分析：异常登录模式、交易金额、频率或地理位置。
• 设备智能：识别已知设备、检测设备更改或识别可疑设备特征。
• IP 分析：检测 VPN、代理并评估 IP 声誉。
• 身份信号：来自初始 KYC 流程的信息，例如身份验证的强度、活体检测结果或与身份相关的先前欺诈标记。Didit 的身份验证（OCR、MRZ、条形码）和 NFC 验证（电子护照/电子身份证）提供了基础身份信任。
• 交易上下文：交易类型、金额、受益人以及历史交易数据。

风险引擎应输出风险评分或一组风险指标，供 API 网关用于做出决策。

2. API 网关策略和编排

API 网关充当执行点。根据评估引擎的风险评分，它应用不同的安全策略。这可能涉及：

• 无摩擦：对于低风险交互，请求直接进行。
• 中等摩擦：提示进行第二次身份验证（MFA），例如通过电话和电子邮件验证的 OTP，或使用 1:1 人脸比对进行快速生物识别重新验证。
• 高摩擦：启动完整的重新 KYC 流程，需要重新提交文件、新的活体检测，甚至手动审核。Didit 的模块化架构允许您无缝编排这些复杂的工作流。
• 阻止：对于极高风险或欺诈企图，交易立即被阻止。

网关需要可配置，以根据风险评分定义这些策略及其相应的触发器。Didit 的无代码业务控制台允许创建编排工作流，从而无需大量编码即可轻松定义这些条件步骤。

3. 模块化身份验证和认证服务

为了有效实施动态摩擦，您需要一套模块化的身份和认证服务，可以按需调用。这就是像 Didit 这样的平台大放异彩的地方。您需要的不是一个单一的身份系统，而是可组合的原语：

• 身份验证：用于初始入职或高摩擦重新验证。
• 活体检测：防止欺骗并确保存在。
• 人脸比对：确认身份与受信任来源。
• 反洗钱筛查：用于持续监控或增强尽职调查。
• 电话和电子邮件验证：用于快速、低摩擦的身份验证。
• 地址证明：当由于风险信号需要重新验证地址时。

这些服务应可通过清晰的 API 访问，允许您的 API 网关根据评估的风险动态调用它们。Didit 以开发人员为先的方法，即时沙盒和公开文档，使集成变得简单直接。

Didit 如何帮助实施动态摩擦

Didit 具有独特的优势，可以帮助金融科技开发人员实施复杂的动态摩擦策略。作为一个 AI 原生、开发人员优先的身份平台，Didit 提供了自适应安全所需的开放、模块化身份层：

• 可组合性：Didit 提供了一套身份原语——身份验证、被动和主动活体检测、1:1 人脸比对、反洗钱筛查和监控、电话和电子邮件验证等。这些可以即插即用到您的 API 网关的基于风险的策略中，让您可以在需要时和需要的地方引入特定的摩擦点。
• 编排工作流：使用 Didit 的无代码业务控制台，您可以设计和管理动态适应的复杂验证工作流。例如，低风险用户可能只需要快速活体检测，而高风险用户可能会通过带有反洗钱筛查的完整身份验证。
• AI 原生智能：Didit 底层的 AI 为其验证能力提供支持，从身份文档、生物识别等提供高度准确的风险信号。这种智能直接输入您的动态摩擦决策。
• 免费核心 KYC 和灵活定价：Didit 提供免费核心 KYC，让企业无需前期成本即可建立信任基线。我们的按成功检查付费模式和无设置费意味着您只需为所使用的服务付费，从而使实施细致的、风险自适应的策略具有成本效益。这种灵活性非常适合动态摩擦，因为您可以扩展验证强度而无需承担固定开销。
• 开发人员优先体验：Didit 清晰的 API、全面的文档和即时沙盒可实现快速集成，让您的团队能够快速构建和迭代动态摩擦策略。

通过将 Didit 集成到您的 API 网关中，您将获得自动化信任和编排风险的能力，确保您的金融科技应用程序在不断变化的威胁面前保持安全，同时为合法客户提供无与伦比的用户体验。

准备好开始了吗？

准备好亲身体验 Didit 了吗？立即获取免费演示。

开始使用Didit 的免费套餐免费验证身份。