将API密钥管理从HashiCorp Vault迁移到Didit (ZH)

专用密钥增强安全性Didit的API密钥针对特定应用程序进行范围限定，提供精细控制，并在密钥泄露时最大限度地减少影响范围，这比通用的全访问密钥有了显著提升。

简化集成Didit以开发者为先，确保API密钥管理集成简单明了，提供清晰的文档和可实现完全自动化的编程注册选项。

集中式工作流程管理Didit的管理API允许以编程方式创建和修改验证工作流程，从静态配置转向动态的、API驱动的身份验证流程。

Didit的AI原生优势Didit的模块化和AI原生平台通过提供安全、高效、可扩展的解决方案，并与HashiCorp Vault等秘密管理工具无缝集成，从而简化了API密钥管理。

现代系统中API密钥管理的挑战

在当今互联的数字环境中，API是大多数应用程序的支柱，实现了无缝通信和数据交换。然而，对API的依赖也带来了关键的安全挑战：API密钥管理。传统方法通常涉及硬编码密钥、将其存储在环境变量中或使用基本的配置文件。虽然这些方法可能足以满足小型项目的需求，但随着应用程序的扩展，尤其是在处理敏感的身份验证过程时，它们很快就会变得难以管理且不安全。

传统系统在密钥轮换、访问控制和可审计性方面常常力不从心。泄露的API密钥可能导致未经授权的访问、数据泄露和严重的声誉损害。这就是像HashiCorp Vault这样的专用秘密管理解决方案发挥作用的地方，它提供了一种集中、安全的方式来存储、访问和管理敏感凭据。然而，即使有了Vault，将这些密钥集成到身份验证平台中，仍然需要仔细考虑平台本身如何处理身份验证和授权。

迁移到Didit这样更强大的身份平台意味着重新评估API密钥的管理方式。Didit的API身份验证方法在设计时充分考虑了安全性和开发者体验，使过渡更顺畅、更安全。

理解Didit的API身份验证模型

Didit采用了一种以API密钥为中心的直接而安全的API身份验证模型。与某些可能依赖复杂OAuth流程进行服务器到服务器通信的系统不同，Didit通过为每个应用程序使用一个单一的秘密API密钥来简化此过程。此密钥授予您的应用程序代表其完全访问API的权限，因此其安全管理至关重要。

Didit中的每个API密钥都在您的帐户中限定于特定的“应用程序”。应用程序充当特定项目或环境的专用工作区，允许您配置工作流程并明确管理验证。这种范围限定是一个显著的安全优势，因为它将访问权限进行了划分。如果一个应用程序的密钥被泄露，它不会自动授予对您所有其他Didit应用程序的访问权限。

要检索您的API密钥，您只需登录Didit业务控制台，选择您的应用程序，然后导航到“API和Webhook”。在这里，您的API密钥和Webhook秘密密钥将显示出来。Didit明确警告用户将API密钥视为密码，切勿将其暴露在前端代码或公共存储库中。这强调了仅限服务器端的使用模型，这是一项基本的安全最佳实践。

使用Didit进行请求认证就像在x-api-key HTTP头中包含您的秘密API密钥一样简单。例如，创建会话如下所示：

curl --request POST \
     --url https://verification.didit.me/v3/session/ \
     --header 'accept: application/json' \
     --header 'content-type: application/json' \
     --header 'x-api-key: YOUR_API_KEY' \
     --data '
{
  "workflow_id": "WORKFLOW_ID",
  "vendor_data": "USER_ID",
  "callback": "CALLBACK_URL"
}
'

Didit的API还支持通过从client_credentials流程获取的Bearer令牌进行身份验证，为不同的集成模式提供了灵活性。

将Didit API密钥与HashiCorp Vault集成

对于已经利用HashiCorp Vault进行秘密管理的组织来说，将Didit API密钥集成到这个生态系统中是一个合乎逻辑且值得推荐的步骤。Vault提供了强大的功能，如动态秘密、租约续订和细粒度访问控制策略，这可以显著增强您的Didit集成的安全态势。

以下是将Didit API密钥与Vault集成的概念性方法：

1. 将Didit API密钥存储在Vault中： 将您的Didit API密钥安全地存储在Vault秘密后端（例如，键值秘密引擎）中，而不是硬编码。创建一个专用路径，例如secret/didit/api-key，并将您的密钥存储在那里。

2. 从应用程序访问密钥： 配置您的应用程序在运行时从Vault检索Didit API密钥。这可以通过使用Vault的客户端库、环境变量（如果使用Vault Agent或Kubernetes集成）或直接通过Vault的API来完成。这确保密钥永远不会持久存储在您的代码库或配置文件中。

3. 基于角色的访问控制（RBAC）： 定义Vault策略，仅授予必要的应用程序或服务访问Didit API密钥的权限。这种最小权限原则确保只有授权实体才能检索密钥。

4. 密钥轮换： 尽管Didit的API密钥不像数据库凭据那样由Vault动态生成，但您可以实施手动或半自动的密钥轮换策略。在Didit业务控制台中定期生成新的API密钥，在Vault中更新它，然后撤销旧密钥。这显著降低了与长期凭据相关的风险。

通过使用Vault，您可以集中管理Didit API密钥，获得对密钥访问的审计能力，并强制执行严格的访问策略，所有这些都有助于构建更安全的身份验证基础设施。

超越身份验证：以编程方式管理Didit工作流程

Didit的管理API不仅限于身份验证，它还允许对您的验证工作流程进行全面的编程控制。对于需要动态的、基础设施即代码方法来处理身份验证过程的组织来说，这是一个强大的功能。您可以通过API调用直接定义和管理工作流程，而不是在控制台中手动配置。

例如，您可以使用管理API来：

• 创建工作流程： 定义新的验证工作流程，其中包含特定功能，如身份证验证（OCR）、被动和主动活体检测、1:1人脸比对和AML筛选。这允许您以编程方式为不同的用例或用户群定制工作流程。
• 更新工作流程： 修改现有工作流程，调整阈值、启用或禁用功能，或更改接受的文档类型，无需手动干预。
• 列出和获取工作流程： 检索所有已配置工作流程的详细信息，这对于审计和确保跨环境的一致性至关重要。

这种编程控制与现代DevOps实践完美契合。想象一下，一个新产品发布需要稍微不同的KYC流程。您可以通过CI/CD管道部署新的工作流程定义，而不是手动配置，从而确保一致性并减少人为错误。这种自动化水平，得益于Didit的API优先设计，是相对于严重依赖手动控制台交互的平台的一大优势。

通过API密钥管理工作流程、问卷和用户数据的能力意味着您的整个身份验证堆栈可以被视为代码，进行版本控制，并自信地部署。

Didit如何提供帮助

Didit从头开始设计，是一个AI原生、开发者优先的身份平台，使API密钥管理和整体集成无缝且安全。我们的模块化架构允许您即插即用各种身份检查，从身份证验证（OCR、MRZ、条形码）和被动/主动活体检测到AML筛选和监控以及NFC验证。这种模块化意味着您只需为每个工作流程启用所需的功能，从而提高安全性和成本效益。

Didit的免费核心KYC服务允许企业无需前期成本即可开始验证身份，这表明了我们对可访问性的承诺。对于API密钥管理，Didit通过提供清晰的身份验证机制和使API密钥具有应用程序范围来简化流程。虽然我们强调以最大的谨慎对待这些密钥，但其结构化的颁发和清晰的文档使其易于与HashiCorp Vault等秘密管理解决方案集成。

管理API提供了前所未有的控制，允许您以编程方式创建和管理工作流程、问卷和用户数据。这意味着您的安全和合规框架可以自动化并集成到您现有的基础设施中，从而减少手动开销和人为错误。有了Didit，您不仅获得了身份验证服务；您还采用了为全球规模和自动化信任而设计的开放、模块化身份层。

准备好开始了吗？

准备好亲身体验Didit了吗？立即获取免费演示。

使用Didit的免费套餐开始免费验证身份。