使用 Express.js 中间件实现动态身份验证 (ZH)

使用 Express.js 进行动态验证实施 Express.js 中间件，利用 Didit 的 API 根据用户上下文或交易风险，协调实时身份验证决策并调整工作流程。

利用 Didit 的模块化架构Didit 开放、模块化的身份平台允许开发人员轻松地将特定的验证检查（如身份验证、活体检测和 AML 筛选）集成到他们的中间件中。

通过 AI 原生解决方案实现信任自动化利用 Didit 的 AI 原生能力进行智能决策，减少人工审核并简化合规流程，从而实现更高效、更安全的系统。

无缝集成和免费核心 KYCDidit 提供开发者优先的方法，拥有简洁的 API、即时沙盒和免费核心 KYC，使得在您的 Express.js 应用程序中构建和部署复杂的验证逻辑变得轻而易举。

动态身份验证的必要性

在当今的数字环境中，静态身份验证流程已不足够。企业需要灵活性，以便根据各种因素（例如用户位置、交易价值、风险概况，甚至所访问的特定服务）调整其 KYC（了解您的客户）和 AML（反洗钱）要求。例如，低价值交易可能只需要基本的电子邮件验证，而高价值金融操作则需要完整的身份证明文件扫描、活体检测和 AML 筛选。构建 Express.js 中间件提供了一种优雅而高效的方式，将这些动态决策能力直接嵌入到应用程序的请求-响应周期中。

这种动态方法允许更注重摩擦的用户体验。您无需让每个用户都经历最严格的验证过程，而是可以定制用户旅程，仅在必要时才要求更多信息。这不仅提高了转化率，还通过将资源集中在最需要的地方来增强安全性。实施此功能需要一个强大的身份验证平台，而 Didit 凭借其模块化和 API 优先的设计，非常适合此类集成。

设计您的 Express.js 验证中间件

Express.js 中间件函数可以访问请求和响应对象，以及应用程序请求-响应周期中的下一个中间件函数。这使其成为拦截请求、执行身份检查并根据结果修改流程的理想场所。以下是此类中间件如何工作的概念性概述：

1. 拦截请求：中间件捕获对受保护路由（例如，用于启动高价值交易的路由）的传入请求。
2. 提取上下文：它从请求中提取相关信息，例如用户 ID、IP 地址、请求的操作或交易金额。
3. 评估风险/策略：根据此上下文，中间件确定所需的验证级别。这可能涉及检查内部用户配置文件、实时风险评分或预定义的业务规则。
4. 启动 Didit 会话：如果需要验证，中间件会调用 Didit 的 API 以创建新的验证会话。Didit 的didit_create_session工具非常适合此目的，允许您指定与所需验证步骤（例如，身份验证、被动和主动活体检测、AML 筛选）相对应的workflow_id。
5. 重定向或嵌入：Didit 返回一个唯一的验证 URL。中间件可以随后将用户重定向到此 URL，或者，为了获得更集成的体验，将 Didit 验证流程嵌入到您网站上的 iframe 中。
6. 处理 Webhook 回调：Didit 平台通过 Webhook 发送实时更新，告知用户验证进度以及最终决定。您的后端需要一个单独的端点来接收和处理这些 Webhook，从而更新数据库中用户的验证状态。
7. 允许或拒绝访问：一旦 Webhook 确认验证成功，用户即可获得对受保护资源的访问权限。如果验证失败，则拒绝访问。

这种动态编排允许您定义复杂的验证旅程，而无需将每个决策硬编码到您的应用程序逻辑中。Didit 的模块化架构意味着您可以在业务控制台中轻松地更换或添加新的验证步骤（例如，地址证明或年龄估算），而无需更改您的应用程序代码。

Didit API 的实际实现

让我们考虑一个 Express.js 中间件的简化示例，该中间件启动 Didit 验证会话。首先，请确保您拥有 Didit 的 API 密钥。您将使用它来验证您的请求。

const express = require('express');
const axios = require('axios');
const app = express();

// 替换为您的实际 Didit API 密钥和工作流 ID
const DIDIT_API_KEY = 'YOUR_DIDIT_API_KEY';
const HIGH_RISK_WORKFLOW_ID = 'YOUR_HIGH_RISK_WORKFLOW_ID'; // 例如，身份 + 活体检测 + AML
const LOW_RISK_WORKFLOW_ID = 'YOUR_LOW_RISK_WORKFLOW_ID';   // 例如，电子邮件 + 电话

// 模拟函数，根据用户数据确定风险
const assessRisk = (userId, transactionAmount) => {
    // 在实际应用程序中，这将涉及更复杂的逻辑
    if (transactionAmount > 1000 || userId === 'high_risk_user_id') {
        return 'HIGH';
    }
    return 'LOW';
};

const dynamicVerificationMiddleware = async (req, res, next) => {
    const userId = req.user.id; // 假设用户 ID 可从会话/身份验证中获取
    const transactionAmount = req.body.amount; // 假设金额在请求正文中

    const riskLevel = assessRisk(userId, transactionAmount);
    let workflowIdToUse;

    if (riskLevel === 'HIGH') {
        console.log(`用户 ${userId} 被识别为高风险。正在启动高风险验证。`);
        workflowIdToUse = HIGH_RISK_WORKFLOW_ID;
    } else {
        console.log(`用户 ${userId} 被识别为低风险。正在启动低风险验证。`);
        workflowIdToUse = LOW_RISK_WORKFLOW_ID;
    }

    try {
        const response = await axios.post(
            'https://verification.didit.me/v3/session/',
            {
                workflow_id: workflowIdToUse,
                vendor_data: userId, // 将会话链接到您的内部用户 ID
                callback: 'https://your-app.com/didit/webhook-handler' // 您的 webhook 端点
            },
            {
                headers: {
                    'x-api-key': DIDIT_API_KEY,
                    'Content-Type': 'application/json'
                }
            }
        );

        const verificationUrl = response.data.url;
        console.log(`用户 ${userId} 的验证 URL: ${verificationUrl}`);

        // 将用户重定向到 Didit 托管的验证页面
        return res.redirect(verificationUrl);

        // 或者，将 URL 发送回客户端以进行前端集成（例如，iframe）
        // return res.status(402).json({ message: '需要验证', verificationUrl });

    } catch (error) {
        console.error('创建 Didit 会话时出错:', error.response ? error.response.data : error.message);
        return res.status(500).send('验证服务不可用。');
    }
};

// 受保护路由示例
app.post('/api/perform-transaction', dynamicVerificationMiddleware, (req, res) => {
    // 仅当 dynamicVerificationMiddleware 允许时（例如，在 webhook 确认验证后）才会执行此代码
    res.send('交易成功！');
});

app.listen(3000, () => console.log('服务器正在端口 3000 上运行'));

此示例演示了如何根据风险评估动态选择 Didit 工作流并启动会话。请记住，实际的交易决策应在 Didit 的 webhook 确认验证结果后做出。

Didit 如何提供帮助

Didit 凭借其独特的优势，赋能开发人员构建动态身份验证解决方案。我们的人工智能原生、开发者优先平台提供了您所需的构建模块：

• 模块化身份： Didit 开放且模块化的架构允许您使用特定检查（如身份验证（OCR、MRZ、条形码）、被动和主动活体检测、1:1 人脸匹配、AML 筛选和监控、地址证明和年龄估算）组合验证工作流。您可以在我们的无代码业务控制台中将这些组合成自定义工作流，每个工作流都有一个唯一的workflow_id，您的中间件可以动态调用它。
• 编排工作流： 定义具有条件逻辑和多个步骤的复杂验证旅程，所有这些都由 Didit 管理，从而减轻了应用程序的负担。
• 开发者优先体验： 凭借简洁的 API、即时沙盒和全面的文档，将 Didit 集成到您的 Express.js 应用程序中非常简单。如上所示，您可以通过简单的 API 调用生成验证链接。
• 自动化而非人工审核： Didit 的 AI 原生功能可自动完成大部分验证决策，显著减少了人工审核的需求，并加快了入职流程。
• 免费核心 KYC： 免费开始使用基本的身份验证功能，无需前期成本，让您能够有效地测试和扩展您的动态验证策略。

无论您是需要验证应用程序的年龄、确保金融服务的合规性，还是通过高级生物识别技术防止欺诈，Didit 全面的产品套件和灵活的集成选项使其成为将动态和强大的身份验证构建到 Express.js 应用程序中的理想合作伙伴。

准备好开始了吗？

准备好亲身体验 Didit 的强大功能了吗？立即获取免费演示。

通过Didit 的免费套餐，免费开始验证身份。