Passer au contenu principal

Migration de la vérification d'identité à la sécurité Messenger avec les JWTs

Comment protéger les sessions Messenger de vos users contre l'usurpation d'identité, le vol de session et les mises à jour non autorisées des attributs de données

Écrit par Penny Gray

Si vous avez installé Messenger sur votre site pour les users connectés, il est essentiel de le sécuriser et d'empêcher les acteurs malveillants d'usurper l'identité de vos users ou d'envoyer des données non autorisées.

Pour améliorer la sécurité et la flexibilité pour nos clients, nous avons introduit JSON Web Tokens (JWTs) comme méthode plus sûre et évolutive pour authentifier les users dans Messenger.

Si vous utilisez actuellement Identity Verification (IDV) pour vérifier les users, passer aux JWTs vous offrira :

  • Un meilleur contrôle de l'authentification – Gérez vous-même l'expiration et la révocation des sessions, plutôt que de dépendre de configurations fixes.

  • Une sécurité renforcée – Les JWTs permettent des tokens signés et limités dans le temps, réduisant le risque d'attaques par rejeu.

  • Une meilleure sécurité des données – Définissez précisément quels attributs users peuvent être mis à jour, réduisant l'exposition des données sensibles.

  • Une solution pérenne – Les JWTs sont le remplacement recommandé pour IDV, garantissant que votre système d'authentification reste conforme aux meilleures pratiques.

Qui doit migrer ?

Cette migration concerne tous les clients utilisant actuellement IDV, surtout si vous :

✅ Avez besoin d'un meilleur contrôle de l'expiration des sessions et de la révocation des tokens

✅ Souhaitez appliquer des mises à jour sécurisées et spécifiques aux users des attributs

✅ Gérez des données clients sensibles et exigez une authentification renforcée

✅ Prévoyez des améliorations de sécurité à long terme dans votre espace de travail

Bien que IDV continue de fonctionner pour l'instant, les JWTs offrent une approche plus moderne et sécurisée, conforme aux meilleures pratiques d'authentification. Ce guide vous accompagnera étape par étape dans le processus de migration.

Principales différences entre Identity Verification et la sécurité Messenger avec JWTs

Identity Verification

Sécurité Messenger avec JWTs

Méthode de vérification

Hachage signé HMAC-SHA256

Token JWT signé HMAC-SHA256

Supporte l'expiration ?

Non

Oui

Supporte les mises à jour sécurisées des données ?

Non

Oui

Recommandé pour

Vérification d'identité basique dans Messenger

Authentification sécurisée avec meilleur contrôle des sessions et gestion sécurisée des données

Étapes de migration

Étape 1 : Mettez à jour votre intégration pour générer des JWTs au lieu de hachages

  1. Cessez de générer des signatures HMAC-SHA256 (alias user_hashes) pour Identity Verification.

  2. [optionnel] Générez une nouvelle clé secrète pour votre Messenger, en choisissant les plateformes auxquelles elle s'applique

  3. Générez un JWT en utilisant votre clé secrète.

Si Identity Verification est déjà activé pour votre espace de travail (indiqué par les paramètres Messenger affichant « installé en toute sécurité »), Intercom n'acceptera que les requêtes contenant soit un user hash valide, soit un JWT valide.

Si vous souhaitez vérifier que votre implémentation JWT fonctionne comme prévu avant de basculer, nous recommandons de faire l'intégration d'abord sur votre espace de test.

Note : les espaces de test et de production ont des clés secrètes Messenger différentes et génèrent donc des user hashes et JSON web tokens différents.

Voici un exemple de configuration côté serveur pour Node.js :

const jwt = require("jsonwebtoken");

const payload = {
  user_id: "USER_ID_HERE",  // Required
  email: "EMAIL_ADDRESS_HERE",  // Optional
  data_attribute: "YOUR_DATA", // Optional
  exp: Math.floor(Date.now() / 1000) + 3600  // Expires in 1hr
};

const secret = process.env.MESSENGER_SECRET_KEY || "YOUR_MESSENGER_SECRET_KEY";  // Secure key storage

const intercomUserJwt = jwt.sign(payload, secret, { algorithm: "HS256" });

Que mettre dans la charge utile de votre JWT :

  • user_id pour identifier le user. Ce champ est obligatoire.

  • Un horodatage optionnel (exp) pour l'expiration

  • Tout autre attribut de données que vous souhaitez envoyer de manière sécurisée pour vos users

Pour des instructions détaillées sur la génération des JWTs pour votre espace de travail, consultez notre article principal du help center ou visitez vos paramètres de sécurité.

Étape 1a : Une note sur les attributs de données

Si vous envoyez actuellement des attributs de données concernant vos users via Messenger, vous devez mettre à jour votre intégration pour envoyer ces attributs de manière sécurisée dans votre JWT user. Pour ce faire, ajoutez les attributs à votre charge utile et assurez-vous que toute requête Messenger non sécurisée soit bloquée.

Dans l'exemple de code ci-dessus, notre charge utile signe le user_id et le email. Elle inclut également une expiration, qui doit aussi être incluse dans la charge utile.

Pour ces attributs, nous devrions maintenant désactiver les mises à jour Messenger non sécurisées pour ces attributs. Cela signifie qu'ils ne peuvent être mis à jour que via un JWT valide et jamais autrement.

Nous vous recommandons d'activer ce bouton pour tout attribut que vous envoyez dans votre JWT. Vous pouvez consulter les attributs de votre espace de travail sous Paramètres > Données > Personnes

Note : Ce bouton de mise à jour des attributs ne vous empêche pas de collecter des données directement auprès des leads avec un bot. Ces données proviennent directement du user.

Étape 2 : Mettez à jour votre extrait frontend pour envoyer des JWTs pour les users

Au lieu de passer une signature HMAC pour IDV, passez le JWT dans les paramètres Messenger sous intercom_user_jwt

Pour le Web (JavaScript SDK) :

window.Intercom("boot", {
  api_base: "https://api-iam.intercom.io",
  app_id: "<YOUR_APP_ID_HERE",
  intercom_user_jwt: "<YOUR_USER_JWT_HERE>"
};

Comme indiqué dans la section précédente, nous envoyons maintenant nos attributs de données dans le JWT et ils ont été retirés de l'extrait.

Pour des instructions détaillées sur la génération des JWTs pour votre espace de travail, consultez notre article principal du help center ou visitez vos paramètres de sécurité. Pour les instructions mobiles, veuillez consulter notre documentation développeur pour iOS et Android.

Dépannage

Il existe des journaux d'échec détaillés et un outil de débogage de token dans vos paramètres de sécurité pour faciliter la transition vers les JWTs.

Pour plus d'informations, consultez notre guide d'installation.

FAQ

Que se passe-t-il si je ne migre pas ?

Identity Verification continuera de fonctionner pour l'instant, mais les JWTs offrent une sécurité renforcée et un meilleur contrôle.

Comment révoquer une session JWT ?

Vous pouvez définir une courte expiration (exp) ou faire tourner les clés de signature pour invalider les anciens tokens.

Puis-je utiliser Identity Verification et les JWTs ensemble ?

Une fois l'authentification JWT activée pour une plateforme, Identity Verification n'est plus nécessaire. Cependant, vous pouvez utiliser les JWTs et Identity Verification indépendamment sur le web, iOS et Android car ils sont tous configurés individuellement.

Articles connexes
Configurer la vérification d'identité pour le web et le mobile [Obsolète]
Installer et utiliser Intercom dans votre application mobile
Qu'est-ce que la vérification d'identité ? [Obsolète]
Sécuriser les données que vous envoyez via le Messenger
Avez-vous trouvé la réponse à votre question ?