Si vous souhaitez utiliser Intercom comme chat de support dans votre application en marque blanche, suivez ce guide pour connecter et sécuriser correctement votre espace de travail.
1. S'inscrire au programme Intercom Startup
Pour commencer, vous aurez besoin de :
-
APP_ID
-
Le moyen le plus simple de trouver l'identifiant de votre espace de travail est dans l'URL de n'importe quelle page Intercom. Par exemple :
https://app.intercom.io/a/inbox/xyz123/inbox/admin
Ici, xyz123 est votre APP_ID.
-
Vous pouvez également naviguer vers : Paramètres > Installation > Web > Installer le chat pour les visiteurs > Avec du code
-
Clé secrète
-
Requise pour la sécurité du Messenger (voir ci-dessous).
2. Sécuriser votre Messenger avec les JWT
Les JSON Web Tokens (JWT) sont la méthode recommandée pour sécuriser votre Messenger. Ils empêchent les accès non autorisés, l'usurpation d'identité ou les fuites de données.
Comment ça fonctionne :
-
Les JWT sont générés côté serveur en fonction de :
-
user_id(obligatoire) -
Payload optionnel avec des données utilisateur supplémentaires
-
Clé secrète de l'API Messenger
-
Intercom utilise le JWT pour vérifier l'identité de l'utilisateur à chaque session.
Pourquoi utiliser les JWT :
- Empêche les acteurs malveillants d'accéder aux conversations.
- Garantit que seuls les utilisateurs authentifiés peuvent interagir avec votre Messenger.
- Fortement recommandé pour toutes les installations.
Vous utilisez déjà la vérification d'identité HMAC ? Consultez le guide de migration pour passer aux JWT et bénéficier d'une sécurité renforcée.
3. Configurer la sécurité du Messenger
Vous pouvez activer, désactiver ou ajuster la sécurité du Messenger dans Intercom :
- Accédez aux Paramètres Intercom pour le Web
- Suivez les instructions et les exemples de code pour votre langage/framework.
- Note : Désactiver cette fonctionnalité pendant le développement est possible, mais rend votre espace de travail vulnérable.
Bonnes pratiques pour l'implémentation des JWT
-
Expiration des tokens
-
Faites correspondre la durée de vie du token à la durée de session de votre application.
-
Des tokens à durée de vie courte améliorent la sécurité.
-
Renouvellement des tokens
-
Fournissez des tokens frais périodiquement, surtout si les informations utilisateur changent.
-
Rotation des clés secrètes
-
Vos clés secrètes de l'API Messenger se trouvent dans : Espace de travail > Sécurité > Messenger
-
Copiez les clés existantes ou effectuez une rotation pour une sécurité renforcée.
4. Options de vérification d'identité
- Recommandé : Vérification basée sur JWT
- Support legacy : Vérification d'identité basée sur HMAC
- Conseil : Passez aux JWT pour toutes les nouvelles intégrations.
5. Dépannage
Problèmes courants et solutions :
-
Le Messenger ne fonctionne pas partout : Assurez-vous que la sécurité du Messenger est activée sur toutes les plateformes (web, iOS, Android).
-
Erreurs de génération des JWT :
-
Utilisez toujours le user_id de l'utilisateur pour la création du token.
-
Utilisez la bonne clé secrète depuis les paramètres de votre espace de travail.
-
Évitez d'exposer votre clé secrète dans le code public/frontend. En cas de fuite, effectuez une rotation immédiatement.
-
Débogage :
-
Consultez les logs détaillés sur la page de configuration.
-
Utilisez le débogueur de tokens pour les problèmes liés aux JWT.
6. Points clés à retenir
- Sécurisez toujours votre Intercom Messenger avec des JWT.
- Utilisez correctement l'APP_ID et la clé secrète sur toutes les plateformes.
- Effectuez une rotation régulière des clés secrètes et renouvelez les tokens JWT si nécessaire.
- Testez le Messenger sur tous les appareils (web, iOS, Android) pour garantir un fonctionnement cohérent.
- Utilisez les outils et logs d'Intercom pour le dépannage.
✅ Avec cette configuration, votre intégration Intercom sera sécurisée, cohérente et prête à accompagner les utilisateurs de votre application en marque blanche en toute sécurité.