跳到主要内容
Didit 融资 750 万美元,打造身份与欺诈基础设施
Didit
仅自拍二次认证

用户重新登录。只需一张自拍

为回访用户提供不到2秒的人脸比对。告别密码重置、短信延迟和魔术链接跳转。每次二次认证$0.10,每月免费500次验证。

投资方
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

全球2,000多家组织信赖。

深色电影风格的仅自拍二次认证堆栈, 四个浮动的半透明玻璃面板以3D透视效果呈现在纯黑色背景上,由一条发光的Didit蓝色线条串联,并由发光的扫描支架框住。每个面板上都有一个小的浅白色图案,分别代表一个循环刷新、两点之间的连接线、一个钟面和一个连续环。

无密码 · 防钓鱼

停止在登录时流失回访用户。两秒钟。他们就回来了。

密码重置会流失约30%的回访用户;短信 (SMS) 验证码可能需要长达90秒。而通过自拍与用户已注册照片进行比对,大约两秒即可完成, 可无缝集成到任何现有的 OAuth / OpenID Connect 流程中。每次二次认证$0.10。每月免费500次验证。

工作原理

从注册到验证用户,仅需四步。

  1. 步骤 01

    创建工作流

    选择您需要的验证项, 身份、活体检测、人脸比对、制裁名单、地址、年龄、电话、邮箱、自定义问题。在控制面板中拖拽构建流程,或通过我们的 API 发布相同流程。支持条件分支、A/B 测试,无需代码。

  2. 步骤 02

    集成

    通过我们的 Web、iOS、Android、React Native 或 Flutter SDK 进行原生嵌入。重定向到托管页面。或者直接通过电子邮件、短信、WhatsApp 等任何方式向用户发送链接。选择适合您技术栈的方式。

  3. 步骤 03

    用户完成流程

    Didit 负责托管摄像头、光线提示、移动设备切换和辅助功能。在用户进行流程时,我们实时评估 200 多个欺诈信号,并根据权威数据源验证每个字段。两秒内即可出结果。

  4. 步骤 04

    接收结果

    实时签名 Webhook 可确保用户通过、拒绝或发送审核后,您的数据库立即同步。按需轮询 API。或打开控制台检查每个会话、每个信号,并按您的方式管理案例。

取代密码 · 跳过短信 · 告别魔术链接

六大功能。每次重新认证 $0.10

一次 Sessions API 调用,一个签名验证结果,即插即用回调契约。结合设备与 IP 分析,在已知良好会话中完全跳过自拍验证。
01 · 一键登录流程

一键。一拍。即刻返回。

发起 Sessions API 调用,将用户重定向到托管的统一资源定位符 (URL),捕获一帧被动图像。活体检测 + 人脸 1:1 比对 + 签名 Webhook 在两秒内返回结果。无需安装应用,无需软件开发工具包 (SDK),无需运营商路径。
生物识别认证模块
02 · 对比密码 / 短信 / 魔术链接

更低摩擦。无钓鱼风险。比短信更便宜。

密码容易被钓鱼、遗忘和重置(每次支持工单成本 $1-$3)。短信 (SMS) 一次性密码容易被钓鱼,依赖运营商,且易受 SIM 卡交换攻击。魔术链接可能被垃圾邮件过滤器拦截。而针对已注册肖像的自拍验证具有防钓鱼、即时且固定价格的优势。
方法矩阵
03 · 转化率提升

不再流失回访用户。

密码重置通常会导致约 30% 的回访用户在流程中流失;短信验证码端到端可能需要 5-90 秒。自拍重新认证大约两秒内完成,无需等待消息,也无需记住任何信息。结果:回访用户登录转化率显著提升。
回访用户基准
04 · 跨平台复用

一次注册。所有 Didit 驱动应用,免费。

将可重用凭证绑定到每个注册用户。下一个需要相同重新认证的Didit驱动界面将以零成本使用该凭证。用户持有证明;您的应用程序验证签名。网络效应在每个发布可重用凭证的客户中复合。
可复用 KYC 模块
05 · 自适应升级认证

在已知设备 + 已知 IP 上跳过自拍。

结合设备与 IP 分析(捆绑在 200 多个欺诈信号堆栈中)。已知设备和已知互联网协议 (IP) 的回访用户可完全跳过自拍。全新设备或新 IP 会触发被动验证;全新设备上的 Tor / 虚拟专用网络 (VPN) 出口会升级到主动 3D 验证。相同流程,智能触发。
设备与 IP 分析模块
06 · 公开定价

每次重新认证 $0.10。全球统一价。

公开定价,无最低消费,无合同。美国一级短信一次性密码每次发送成本为 $0.05-$0.30,即使用户未收到验证码也需付费。密码重置每次支持工单成本为 $1-$3。自拍重新认证固定为 $0.10,每月免费提供 500 次验证,永久有效。
查看定价
集成

一个会话。一次回调。生成一个令牌。

开启生物识别认证会话,在托管 UI 中捕获自拍,验证签名结果,然后让用户登录。
POST /v3/session/重新认证
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_reauth",
    "workflow_type": "biometric_authentication",
    "vendor_data": "user-42",
    // base64 enrolment selfie, ≤ 1MB (omit for liveness-only)
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201已创建{ "session_url": "verify.didit.me/..." }
托管 UI 对提供的 portrait_image 运行 LIVENESS + FACE_MATCH文档 →
GET /v3/session/{sessionId}/decision/判决
$ curl https://verification.didit.me/v3/session/<id>/decision/ \
  -H "x-api-key: $DIDIT_API_KEY"

# Returns the re-auth verdict
{
  "status": "Approved",
  "face": { "similarity_score": 0.96 }
}
200OK状态:已批准 · 审核中 · 已拒绝 · 未完成
首先验证签名 webhook 上的 X-Signature-V2文档 →
代理就绪集成

在一个提示中替换密码/短信/魔术链接。

粘贴到 Claude Code、Cursor、Codex、Devin、Aider 或 Replit Agent 中。填写您的技术栈。Agent 将配置 Didit,替换现有的回访用户回调,并在一个周末内完成部署。
didit-integration-prompt.md
You are integrating Didit&apos;s selfie-only re-authentication into <my_stack>. Replace password, SMS one-time-password, or magic-link on returning-user surfaces with a sub-2-second face match against the enrolled portrait. Phishing-resistant, no carrier dependency, no SIM-swap surface, no email-delivery delay.

  1. Enrol the user&apos;s portrait ONCE at sign-up (standard Know Your Customer (KYC) session).
  2. On every returning-user sign-in, open a re-auth session that runs Passive Liveness + Face Match 1:1 against the stored portrait. ~2 seconds end-to-end.

Pricing (public):
  - Selfie re-auth: $0.10 per authentication (Sessions API)
  - First 500 verifications free every month, forever

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60s, no card).
  - Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
  - The user has previously enrolled via a Didit KYC session (the portrait captured during the liveness step is stored automatically, bound to vendor_data).
  - A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session is opened with workflow_type = "biometric_authentication".

STEP 1 — Open a re-auth session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<your biometric_authentication workflow>",
      "workflow_type": "biometric_authentication",
      "vendor_data": "<the same user id used at enrolment>",
      "callback": "https://<your-app>/reauth/callback",
      "metadata": {
        "purpose": "returning_user_signin",
        "device_id": "<optional, your device fingerprint>",
        "from_ip": "<optional, the request IP>"
      },
      "portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
    }

  Response: 201 Created with the hosted session_url. Redirect the user. The hosted UI opens the front camera, captures one passive frame, runs Liveness + Face Match 1:1 against the user&apos;s enrolled portrait, returns the verdict in sub-2-seconds.

STEP 2 — Read the signed verdict on the webhook

  Body (excerpted for a passing re-auth):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": {
        "status": "Approved",
        "method": "PASSIVE",
        "score": 96
      },
      "face": {
        "status": "Approved",
        "similarity_score": 0.96
      }
    }

  Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 3 — Branch your sign-in logic on the verdict

  Approved      → mint your session token, sign the user in.
  Declined      → block sign-in; fall back to a higher-friction recovery (support contact / full KYC re-do).
  In Review     → hold; route to your operations queue.
  Not Finished  → user abandoned the capture; safe to re-prompt or fall back to a backup factor.

STEP 4 — Adaptive step-up (recommended)

  Pair the selfie with Device & IP Analysis (bundled into the 200+ fraud-signal stack at no extra cost). Adaptive rules to consider:

    Known device + known Internet Protocol (IP)  → skip the selfie, mint a session token.
    Known device + new IP                         → run the selfie (passive).
    New device + new IP                           → run the selfie (passive).
    Tor / Virtual Private Network (VPN) exit +
      new device                                  → escalate to ACTIVE_3D method (motion challenge).

  Implement the branching in your application or in the Workflow Builder via per-session overrides.

CONSTRAINTS
  - Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
  - Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, IP_ANALYSIS, ID_VERIFICATION, AML, AGE_ESTIMATION.
  - Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
  - Auth header is x-api-key (lowercase, hyphenated).
  - Webhook signature header is X-Signature-V2 (NOT X-Signature).
  - Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
  - The face template is irreversible (a one-way hash). The user can request deletion via the standard data-subject-request path.

PRO TIPS
  - Bind a Reusable Credential to each enrolled user. The next Didit-powered surface that needs the same gate consumes the credential at zero cost.
  - Keep a fallback factor (password, magic link, support recovery) for users who cannot complete the selfie — accessibility, device camera failure, religious head covering, etc.

Read the docs:
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
合规性设计

一键开启新国家/地区业务。 我们为您解决难题。

我们负责设立当地子公司、获取许可证、进行渗透测试、获得认证,并与所有新法规保持一致。要在新国家/地区发布验证服务,只需轻点开关。已覆盖220多个国家/地区,每个季度进行审计和渗透测试, 是唯一一个被欧盟成员国政府正式认定比线下验证更安全的身份提供商。
阅读安全与合规性档案
欧盟金融沙盒
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
信息安全 · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
原生符合欧盟标准

数据证明

数据证明
  • ~2s
    端到端重新认证, 从自拍采集到入门级安卓设备上的签名判决。
  • $0.00
    每次重新认证,固定费用。低于美国短信一次性密码和 1 美元以上的密码重置支持工单。
  • 0
    密码易被钓鱼,代码易被钓鱼,SIM 卡易被盗换,链接易被劫持。
  • 0
    每月免费验证,永久有效。
三个层级,一份价目表

免费开始。按使用量付费。可扩展至企业级。

每月 500 次免费验证,永久有效。生产环境按量付费。企业版提供定制合约、数据驻留和 SLA (Service Level Agreements)。
免费

免费

每月 $0。无需信用卡。

  • 免费 KYC 套件(身份验证 + 被动活体检测 + 人脸匹配 + 设备与 IP 分析), 每月 500 次,永久有效
  • 黑名单用户
  • 重复检测
  • 每次会话 200+ 欺诈信号
  • Didit 网络中可重复使用的 KYC
  • 案件管理平台
  • 工作流构建器
  • 公开文档、沙盒、SDK、MCP(模型上下文协议)服务器
  • 社区支持
最受欢迎
按用量付费

按用量计费

按实际用量付费。25+模块。公开的模块定价,无每月最低费用。

  • 完整KYC $0.33(身份+生物识别+IP/设备)
  • 10,000+ AML数据集, 制裁、PEP、负面媒体
  • 1,000+ 政府数据源用于数据库验证
  • 交易监控 $0.02/笔交易
  • 实时KYB $2.00/家企业
  • 钱包筛选 $0.15/次检查
  • 白标验证流程, 您的品牌,我们的基础设施
企业版

企业版

定制MSA和SLA。适用于大批量和受监管项目。

  • 年度合同
  • 定制MSA、DPA和SLA
  • 专属Slack和WhatsApp频道
  • 按需人工审核员
  • 经销商和白标条款
  • 独家功能和合作伙伴集成
  • 指定CSM、安全审查、合规支持

免费开始 → 仅在检查运行时付费 → 解锁企业版以获取定制合约、SLA 或数据驻留。

FAQ

常见问题

Didit 是什么?

Didit 身份和欺诈基础设施, 一个我们自己在构建产品时曾希望存在的平台:开放、灵活且对开发者友好,因此它能真正融入您的技术栈,而不是一个需要您围绕其进行集成的黑盒。

一个 API 涵盖了人员验证(KYC了解您的客户)、企业验证(KYB了解您的业务)、加密钱包筛选(KYT了解您的交易)以及实时交易监控, 所有这些都建立在一个旨在实现以下目标的堆栈上:

  • 快速, 每个会话的 p99 均在 2 秒以内
  • 可靠, 已在220 多个国家/地区1,500 多家公司投入生产
  • 安全, 符合 SOC 2 Type 1、ISO 27001、GDPR 原生,并经西班牙金融监管机构正式证明比亲自验证更安全

其底层支持:14,000 多种文档类型,支持48 种以上语言1,000 多个数据源,以及每个会话的200 多个欺诈信号。Didit 基础设施从每个会话中动态学习,并日益完善。

什么是“仅限自拍的重新认证”?
一种登录流程,用户唯一需要做的就是自拍。无需输入密码,无需等待短信 (SMS) 验证码,也无需从电子邮件中获取魔术链接。自拍会与用户在原始 KYC(了解您的客户)会话期间捕获的注册肖像进行匹配,并在大约两秒内生成会话令牌。
为什么到 2026 年密码仍然是个问题?

有三个原因一直没有改善:

  • 人们容易忘记密码。 行业调查显示,大多数消费者应用的密码重置率约为每月活跃用户的 5-10%。每次重置都会产生 $1-$3 的支持工单费用。
  • 人们重复使用密码。 任何一个网站的数据泄露都会暴露在其他地方重复使用的凭据。凭据填充攻击仍然是头号账户盗用方式。
  • 人们在错误的网站上输入密码。 网络钓鱼页面会在用户按下回车键的那一刻窃取凭据。
我的终端用户的验证速度有多快?

整个流程通常在 30 秒内完成, 拿起身份证,拍摄证件,拍摄自拍,完成。这是市场上最快的速度。传统的 KYC 提供商完成相同的流程通常需要90 秒以上

在后端,Didit 在用户完成自拍到您的 webhook 触发的瞬间,p99 结果返回时间不到两秒。移动端捕获针对慢速手机和慢速网络进行了优化:渐进式图像压缩、延迟加载 SDK,以及如果用户从网页开始,通过二维码从桌面到手机的一键式切换。

为什么这比短信一次性密码 (SMS OTP) 更快?

短信一次性密码的交付延迟为 5 90 ,具体取决于运营商、国家/地区和一天中的时间。即使在最佳情况下,用户也需要等待、切换应用、复制 6 位数字、切换回来、粘贴并点击提交, 总的登录时间为 15 120

自拍是一键、一帧、一个结果, 大约2 秒端到端,无需切换应用,无需复制/粘贴,也无需担心消息永远不会到达。

如果用户失败、放弃或过期会发生什么?

每个会话都会落入七种明确状态之一,因此您的代码始终知道该怎么做:

  • Approved, 所有检查通过。让用户继续。
  • Declined, 一个或多个检查失败。您可以允许用户重新提交特定的失败步骤(例如,重新拍摄自拍),而无需重新运行整个流程。
  • In Review, 标记为合规审查。在控制台中打开案例,查看所有信号,决定批准或拒绝。
  • In Progress, 用户正在流程中。
  • Not Started, 链接已发送,用户尚未打开。如果长时间未打开,发送提醒。
  • Abandoned, 用户打开了链接但未及时完成。重新参与或过期。
  • Expired, 会话链接已过期。创建新会话。

每次状态更改都会触发一个签名的 webhook,因此您的数据库始终保持同步。废弃和拒绝的会话是免费的。

我的客户数据存储在哪里,如何受到保护?

生产数据默认在欧盟通过 Amazon Web Services 进行处理和存储。企业合同可以根据监管机构要求,申请其他区域。

全面加密。 所有数据库、对象存储和备份中的静态数据均采用 AES-256 加密。所有 API 调用、webhook 和业务控制台会话中的传输数据均采用传输层安全协议 1.3。生物识别数据使用单独的客户主密钥进行加密。

保留期限由您控制。 默认保留期限为无限期(无限制),除非您配置更短的期限, 每个应用程序可在30 天到 10 之间选择, 您可以随时通过仪表板或 API 删除任何单个会话。

认证:SOC 2 Type 1(Type 2 审计进行中)、ISO/IEC 27001:2022iBeta Level 1 PAD,以及来自西班牙 Tesoro / SEPBLAC / CNMV 的公开证明,表明 Didit 的远程身份验证比亲自验证更安全。完整报告请访问 /security-compliance

Didit 符合我的行业规定吗?

Didit 默认符合对身份基础设施至关重要的监管机构要求:

  • GDPR + 英国 GDPR, 控制器/处理者分离,发布完整的《数据处理协议》,指定主要监管机构(西班牙 AEPD)。
  • AMLD6 + 欧盟 AML 单一规则手册, 实时筛选 1,300 多个制裁、政治公众人物和负面媒体名单。
  • eIDAS 2.0, 与欧盟数字身份钱包对齐;支持可重用身份。
  • MiCA(加密资产市场), 适用于加密货币入口、交易所和托管机构。
  • DORA, 数字运营弹性法案,欧盟金融服务运营弹性。
  • BIPA、CUBI、华盛顿 HB 1493、CCPA / CPRA, 美国生物识别隐私(伊利诺伊州、德克萨斯州、华盛顿州)和加州消费者隐私。
  • 英国在线安全法案, 年龄门控和儿童安全义务。
  • FATF 旅行规则, 加密货币转账的发起方和受益方数据,与 IVMS-101 互操作。

详细备忘录、所有证书、所有监管机构函件:/security-compliance

我能多快集成并开始验证用户?
  • 60 即可在 business.didit.me 获得沙盒账户, 无需信用卡。
  • 5 分钟即可通过 Claude Code、Cursor 或任何编码代理,通过我们的模型上下文协议 (MCP) 服务器完成工作验证。
  • 一个周末即可完成生产就绪的集成,包括签名 webhook 验证、重试和用户被拒绝时的补救流程。

三种集成路径, 选择最适合您技术栈的:

  • 使用我们的 Web、iOS、Android、React Native Flutter SDK 原生嵌入
  • 将用户重定向到托管验证页面, 无需 SDK。
  • 通过电子邮件、短信、WhatsApp 或任何渠道发送链接, 无需前端工作。

相同的仪表板、相同的计费、相同的按成功付费价格适用于所有三种方式。分步指南请访问 docs.didit.me/integration/integration-prompt

集成实际是怎样的?

它是一个可用于任何现有回访用户回调契约的即插即用方案。

  • POST /v3/session/,其中包含 workflow_type: "biometric_authentication" 和您在注册时使用的相同 vendor_data
  • 将用户重定向到返回的 session_url
  • 验证 webhook 上的 X-Signature-V2 基于哈希的消息认证码 (HMAC) 标头。
  • 根据 status 进行分支, Approved 生成您的令牌,Declined 阻止并回退,In Review 路由到操作,Not Finished 重新提示。

大多数团队在一个周末内就能完成部署。完整的可粘贴代理提示在上方;模型上下文协议 (MCP) 服务器支持两种界面。

您如何处理用户的面部数据?

默认情况下数据最小化。 自拍在内存中处理,结果和相似度分数保留,除非明确启用保留,否则原始图像将被删除。注册肖像存储为不可逆的面部模板, 一种无法从其重建原始面部的单向哈希。

我们绝不会出售、共享或使用客户的生物识别数据训练第三方模型。终端用户可以随时通过标准数据主体请求路径请求删除其模板。

如果用户面部发生变化怎么办?

人脸匹配 1:1 适度的外貌变化具有鲁棒性, 例如发型、胡须、眼镜、光线、妆容、轻微衰老。每次重新认证返回的相似度分数反映了模型的置信度。

对于超出自动批准阈值的用户(体重剧烈变化、手术、多年未刷新导致的衰老),结果将返回 In Review 并路由到您的操作队列。10 秒的重新注册会话会刷新模板,下一次重新认证将使用新肖像。

身份与欺诈基础设施。

一个 API 即可实现 KYC、KYB、交易监控和钱包筛选。5 分钟即可集成。

让 AI 总结此页面