お客様のセキュリティと柔軟性を向上させるために、Messengerでのユーザー認証により安全でスケーラブルな方法としてJSON Web Tokens(JWTs)を導入しました。
現在Identity Verification (IDV)を使ってusersを認証している場合、JWTsに切り替えることで以下の利点があります:
認証のより高度な制御 – 固定設定に頼るのではなく、セッションの有効期限や取り消しを自分で管理できます。
強化されたセキュリティ – JWTsは時間制限付きの署名付きトークンを可能にし、リプレイ攻撃のリスクを減らします。
データセキュリティの向上 – 更新可能なusers属性を正確に定義し、機密データの露出を減らします。
将来への備え – JWTsはIDVの推奨代替手段であり、認証システムを最新のベストプラクティスに合わせて維持します。
誰が移行すべきか?
この移行は現在IDVを使用しているすべてのお客様に関連し、特に以下の場合に推奨されます:
✅ セッションの有効期限とトークン取り消しをより良く制御したい
✅ 安全でusers固有の属性更新を強制したい
✅ 機密性の高い顧客データを扱い、より強力な認証が必要な場合
✅ ワークスペースの長期的なセキュリティ改善を計画している場合
IDVは当面利用可能ですが、JWTsはよりモダンで安全なアプローチであり、認証のベストプラクティスに沿っています。このガイドでは移行手順を段階的に説明します。
Identity VerificationとJWTsを使ったMessenger Securityの主な違い
| Identity Verification | JWTsを使ったMessenger Security |
認証方法 | HMAC-SHA256署名ハッシュ | JWT署名トークン |
有効期限対応? | いいえ | はい |
安全なデータ更新対応? | いいえ | はい |
推奨対象 | Messengerでの基本的な本人確認 | より良いセッション制御と安全なデータ処理を伴う安全な認証 |
モバイルSDKサポート:現時点でJWT認証はweb Messenger実装のみ対応しています。iOSおよびAndroid SDKsについては、引き続きIdentity Verificationを使用してください。
移行手順
ステップ1:ハッシュの代わりにJWTsを生成するよう統合を更新する
Identity Verification用のHMAC-SHA256署名の生成を停止してください。
Messenger用に新しいシークレットキーを生成し、適用するプラットフォームを選択してください。
代わりに、シークレットキーを使ってJWTを生成してください。
Node.js用のサンプルサーバーサイドコード設定例はこちらです:
const jwt = require("jsonwebtoken");
const payload = {
user_id: "USER_ID_HERE", // Required
email: "EMAIL_ADDRESS_HERE", // Optional
data_attribute: "YOUR_DATA", // Optional
exp: Math.floor(Date.now() / 1000) + 3600 // Expires in 1hr
};
const secret = process.env.MESSENGER_SECRET_KEY || "YOUR_MESSENGER_SECRET_KEY"; // Secure key storage
const intercomUserJwt = jwt.sign(payload, secret, { algorithm: "HS256" });JWTペイロードに含める内容:
ユーザーを識別するための
user_id。必須フィールドです。有効期限のためのオプションのタイムスタンプ(
exp)users向けに安全に送信したいその他のデータ属性
JWTを生成する詳細な手順については、当社のヘルプセンターのドキュメントをご覧ください。
注意:現在ZendeskまたはFin Messengerを通じてusersのデータ属性を送信している場合は、統合を更新してそれらの属性をusers JWT内で安全に送信するようにしてください。これには、ペイロードに属性を追加し、不安全なmessengerリクエストをブロックすることが含まれます。
上記のコード例では、ペイロードはuser_idとemailに署名しています。有効期限もペイロードに含める必要があります。
ステップ2:usersのためにJWTsを送信するようフロントエンドスニペットを更新する
IDV用のHMAC署名を渡す代わりに、Messenger設定でJWTをintercom_user_jwtとして渡してください。
Web(JavaScript SDK)用:
window.Intercom("boot", {
api_base: "https://api-iam.intercom.io",
app_id: "<YOUR_APP_ID_HERE",
intercom_user_jwt: "<YOUR_USER_JWT_HERE>"
};
前節で述べたように、データ属性はJWT内で送信されており、スニペットからは削除されています。
JWTを生成する詳細な手順については、当社のヘルプセンターのドキュメントをご覧ください。
モバイル(iOS/Android SDKs):JWTsはまだモバイルSDKでサポートされていません。現時点ではIdentity Verificationを引き続き使用してください。
トラブルシューティング
JWTsへの移行を支援するために、設定 > Messenger > セキュリティに詳細な失敗ログとトークンデバッガーツールがあります。
詳細については、インストールガイドこちらをご覧ください。
よくある質問
移行しなかったらどうなりますか?
Identity Verificationは当面利用可能ですが、JWTsはより強力なセキュリティと優れた制御を提供します。
JWTセッションを取り消すには?
短い有効期限(exp)を設定するか、署名キーをローテーションして古いトークンを無効にできます。
Identity VerificationとJWTsを両方使えますか?
JWT認証が有効になると、Identity Verificationは不要になります。ただし、web、iOS、Androidでそれぞれ独立して設定されているため、JWTsとIdentity Verificationを個別に使用することは可能です。