API网关的零信任身份：开发者指南 (ZH)

拥抱零信任原则认识到网络边界内外的任何用户或系统都不应被固有信任。每个访问请求都必须持续验证。

API网关是关键的强制执行点利用API网关作为身份验证、授权和威胁检测的中心策略执行点，在请求到达后端服务之前进行处理。

持续验证是关键实施动态的、基于风险的身份验证和授权检查，实时适应用户行为、设备姿态和环境因素。

Didit简化身份编排Didit的模块化、AI原生平台提供了一套全面的身份验证工具，包括身份验证、活体检测和AML筛选，支持无缝集成到API网关工作流，提供免费核心KYC且无设置费。

API安全中零信任的必然性

在当今互联的数字环境中，传统的基于边界的安全模型已经过时。微服务、云原生架构和远程工作的兴起消除了网络边界，使每个访问点都成为潜在的漏洞。这就是零信任安全模型变得不可或缺的原因，特别是对于API网关而言。零信任方法要求默认情况下不信任任何用户、设备或应用程序，无论其相对于网络的位置如何。每个访问尝试，即使来自企业网络内部，也必须经过严格的身份验证和授权。

对于开发者来说，这意味着从“信任但验证”的心态转变为“永不信任，始终验证”。API网关作为后端服务的前门，是实施这些原则的理想场所。它们可以执行初始身份验证、验证令牌、检查授权策略，甚至与高级身份验证服务集成，以确保只有合法且授权的实体才能访问您的API。这种积极主动的姿态显著减少了攻击面，并减轻了与凭据泄露或内部威胁相关的风险。

在网关处架构身份验证

在API网关实施零信任身份需要深思熟虑的架构方法。网关不再仅仅是传递请求，而是转变为一个智能的策略执行点。这涉及几个关键组件：

• 强身份验证：除了基本的用户名/密码，集成多因素身份验证（MFA）和自适应身份验证技术。这可能涉及设备指纹识别、行为生物识别，甚至针对关键交易的实时活体检测。
• 上下文授权：授权不应该是静态的。API网关应根据丰富的上下文数据评估访问请求，包括用户角色、设备健康状况、位置、时间以及所访问数据的敏感性。
• 持续验证：身份不是一次性检查。零信任要求持续重新评估信任。这意味着会话监控、异常检测，以及在检测到可疑活动时可能重新验证用户。
• 身份编排：强大的身份平台对于管理不同验证方法和数据源的复杂性至关重要。这包括与身份提供商（IdP）、目录服务以及Didit的身份验证或年龄估算等专业验证工具集成。

例如，如果用户的IP地址或设备姿态看起来异常，访问敏感财务数据的请求可能会触发使用Didit的被动和主动活体检测进行额外的活体检查。这种动态方法确保安全性随风险而扩展。

利用身份平台增强网关安全

从头开始构建全面的零信任身份层可能令人望而生畏。这就是Didit等专业身份验证平台变得无价的原因。Didit提供了一套模块化、AI原生的工具，旨在与您的API网关无缝集成，无需大量定制开发即可增强其功能。

考虑以下Didit产品可以强化您的API网关的场景：

• 初始用户注册：当新用户尝试通过API注册时，网关可以触发Didit的身份验证（使用OCR、MRZ和条形码）来验证其身份文件。这可以与1:1人脸匹配结合使用，以确保出示文件的人是其合法所有者。
• 合规性和欺诈预防：对于金融服务API，网关可以启动Didit的AML筛选和监控，以检查制裁和PEP名单。为了防止欺诈，被动和主动活体检测确保真实用户与系统交互，阻止深度伪造和欺骗尝试。
• 年龄验证：如果您的API提供受年龄限制的内容或服务，网关可以调用Didit的年龄估算（隐私保护）来验证用户的年龄，这对于游戏或酒精销售等行业的合规性至关重要。
• 账户恢复和高价值交易：对于高风险操作，API网关可以要求额外的验证步骤，例如NFC验证（电子护照/电子身份证）以增强安全性，或电话和电子邮件验证以确认联系方式。

通过将这些复杂的验证任务卸载给Didit，开发者可以专注于核心业务逻辑，同时知道API网关由强大、AI驱动的身份引擎提供支持。

使用Didit和API网关实施零信任

由于Didit以开发者为中心的方法和简洁的API，将其集成到您的API网关以实现零信任身份非常简单。该过程通常涉及：

1. 工作流定义：在Didit业务控制台中，定义自定义验证工作流（例如，“高风险交易”工作流，包括身份验证、活体检测和AML筛选）。每个工作流都有一个唯一的ID。
2. 网关拦截：配置您的API网关以拦截需要增强身份验证的特定API请求。
3. 会话创建：从网关，向Didit的/v3/session/端点发出API调用，传入相关的workflow_id和任何vendor_data（例如用户ID）。Didit返回一个会话URL。
4. 用户交互：将用户重定向（或嵌入会话URL）到Didit托管的验证流程。Didit处理整个用户体验，从文件捕获到活体检测。
5. Webhook通知：Didit通过webhooks向您配置的端点发送实时更新，随着验证的进行和最终结果的准备就绪。
6. 策略执行：API网关或后端服务接收Didit的验证结果（例如，“已批准”、“已拒绝”、“审核中”），并相应地执行访问策略。

这种模块化架构允许您根据API调用的上下文动态应用不同级别的身份保障，确保您的零信任策略既健壮又灵活。Didit创建验证链接并与Zapier等工具集成的能力进一步简化了编排，允许无代码或低代码集成到现有系统中。

Didit如何提供帮助

Didit在赋能开发者为其API网关构建零信任身份层方面具有独特的优势。我们的平台是AI原生的，并设计为模块化，允许您根据需要精确地组合验证检查。使用Didit，您可以：

• 编排复杂工作流：使用我们的无代码业务控制台设计动态身份验证工作流，结合身份验证、被动和主动活体检测、1:1人脸匹配、AML筛选和监控以及年龄估算等产品，以满足特定的安全和合规要求。
• 无缝集成：利用我们简洁的API和以开发者为中心的文档，实现与任何API网关或应用程序的快速集成。我们的即时沙盒环境让您可以立即开始测试。
• 确保持续信任：实施持续的身份验证，适应风险，提供实时保障用户身份的真实性。
• 受益于免费核心KYC：免费开始使用基本的身份验证，随着需求的增长，采用按成功检查付费模式，且无设置费，扩展您的安全性。

Didit全面的身份原语套件确保您的API网关可以强制执行最严格的零信任策略，保护您宝贵的数据和服务免受不断演变的威胁。

准备好开始了吗？

准备好亲身体验Didit了吗？立即获取免费演示。

使用Didit的免费套餐，免费开始验证身份。