⚠️ La vérification d'identité est désormais obsolète.
La vérification d'identité est toujours prise en charge et continuera de fonctionner, mais si vous envisagez de l'installer ou d'apporter des modifications, nous vous recommandons vivement de passer à l'utilisation des JSON Web Tokens pour sécuriser votre Messenger à la place.
La vérification d'identité est une fonctionnalité de sécurité dans Intercom Messenger conçue pour garantir des conversations privées entre vous et vos users tout en empêchant l'usurpation d'identité. Cet article fournit des conseils pour résoudre les problèmes de vérification d'identité et passer à des méthodes de sécurité plus modernes.
Si vous rencontrez des difficultés pour configurer la vérification d'identité, il y a deux raisons possibles : le hash utilisateur est manquant dans la requête Messenger API de l'utilisateur ou le hash utilisateur a été fourni mais ce n'est pas ce qu'Intercom attendait.
Commencez par jeter un œil à la console de votre navigateur où vous devriez voir une erreur expliquant le problème spécifique, par exemple : une erreur 403 Permissions.
Découvrez comment ouvrir la console de votre navigateur ici : Pourquoi ne puis-je pas voir le Messenger ? | Comment vérifier les erreurs.
Dans ce cas, nous pouvons voir que la vérification d'identité est appliquée mais aucun hash utilisateur n'est envoyé via la Messenger API pour l'utilisateur connecté. Cela signifie que le Messenger ne démarrera pas.
De même sur mobile, vous pouvez voir des erreurs dans votre IDE indiquant que votre intégration a "échoué la vérification d'identité".
Important : Si vous appliquez la vérification d'identité sans résoudre les erreurs, votre Messenger ne se chargera pas correctement sur les domaines où vous avez installé le Messenger.
Hashes manquants
Si vous avez une erreur concernant des hashes manquants, vous devez vous assurer de générer des hashes pour vos users en utilisant le secret de vérification d'identité de vos paramètres d'espace de travail et l'un de leurs identifiants (user_id ou email). Il doit être inclus dans chaque requête utilisateur.
La configuration de la vérification d'identité nécessitera des modifications techniques de votre installation Intercom Messenger et nécessite généralement un accès au code côté serveur. Cela peut être effectué par la personne qui a configuré votre espace de travail Intercom à l'origine.
Si vous générez le hash avec le user_id, vous devrez envoyer le user_id correspondant dans toutes les requêtes.
Hashes invalides
Si vous envoyez un hash mais qu'Intercom indique qu'il est invalide, il y a plusieurs points à vérifier :
Utilisez-vous le bon secret de vérification d'identité ?
Chaque plateforme (Web, iOS et Android) a un secret unique et vous devez utiliser celui fourni dans vos paramètres Intercom. En inventer un ne fonctionnera pas.
Vous ne pouvez pas non plus utiliser votre clé API ou le secret client de l'application pour créer des hashes — utiliser le secret client de l'application entraînera une erreur user_hash invalide. La clé secrète de vérification d'identité n'est plus exposée. JWT est désormais la méthode recommandée pour sécuriser le Messenger — voir le guide de configuration JWT.
Votre espace de travail [TEST] et votre espace de travail de production doivent être configurés séparément car chacun a son propre ensemble de secrets uniques de vérification d'identité.
Envoyez-vous l'identifiant utilisateur pertinent avec le hash utilisateur ?
Si vous envoyez uniquement le hash utilisateur, la vérification d'identité échouera. Vous devez également inclure l'identifiant que vous avez utilisé pour le hash dans la requête, par exemple : user_id ou adresse email.
Générez-vous le hash avec le bon identifiant utilisateur (user ID vs email) ?
Si vous envoyez à la fois user_id et email, générez votre user_hash avec user_id.
Si vous envoyez juste un user_id, générez votre user_hash avec user_id.
Si vous envoyez juste un email, générez votre user_hash avec email.
Vérifiez vos hashes avec le vérificateur de hash dans vos paramètres de sécurité sous votre clé secrète.
Avez-vous envoyé la valeur du hash avec la clé “user_hash” ?
Le hash que vous générez doit être envoyé sous le nom “user_hash” avec votre extrait Javascript. Vous ne pouvez pas l'appeler autrement, par exemple : “android_user_hash”.
Est-ce la dernière version de votre code ?
Si c'est une ancienne version de votre application, ou si votre code JavaScript est mis en cache, vous ne pourriez pas envoyer un hash utilisateur avec vos données utilisateur, auquel cas le Messenger ne se chargera pas.
Si vous avez toujours des problèmes avec la vérification d'identité, contactez notre équipe de support via le Messenger et nous serons heureux d'examiner cela. Veuillez inclure un exemple d'utilisateur ayant des difficultés et les erreurs de votre console.
Note : La vérification d'identité a été dépréciée au profit d'une fonctionnalité améliorée utilisant les JSON web tokens (JWT). L'option « Appliquer la vérification d'identité pour Messenger » n'est plus disponible pour les modifications ou nouvelles installations. Les implémentations actuelles fonctionnent toujours, mais la transition vers les JWT est fortement recommandée pour une meilleure sécurité et conformité.
JWT (JSON Web Token) est désormais la méthode recommandée pour sécuriser le Messenger. Consultez les guides ci-dessous pour la configuration :