JWTはユーザーの身元を安全に確認するデジタルトークンです。Finでは、各JWTがユーザーの本人確認を行い、クライアントとサーバー間の暗号化通信を可能にします。
無効なトークンまたは不正なペイロードは認証の成功を妨げ、400エラーを引き起こしたりログイン試行をブロックしたりします。
特定されたユーザーログインの400エラー修正
400エラーは通常、JWTが無効または不適切に作成されていることを意味します。解決するには以下の手順に従ってください。
信頼できるJWTライブラリを使用してください。
業界標準のライブラリを使ってユーザーごとにJWTを生成し、Messenger API Secretで署名してください。ペイロードを検証してください。
JWTのペイロードはSDKが期待するフィールドを正確に含む必要があります。例:
user_idフィールドが正しい大文字小文字と形式であることを確認してください。
トークンをユーザーに一致させてください。
各JWTは正しいユーザーに対応している必要があります。別のユーザー用に生成されたトークンを渡すとエラーになります。
注意:SDKが無効なJWTを検出すると、アカウントの安全を守るためにログイン試行をブロックします。エラーが続く場合はトークン設定を再確認してください。
未特定ユーザーログインの問題修正
未特定のログインにはクリーンで新しいセッションが必要です。無効なJWTが有効なままだと未特定ログインが失敗することがあります。以下を試してください。
以前のセッションをクリアしてください。
SDKでログアウトするか既存のセッションを完全にクリアしてください。新しいセッションを開始してください。
以下を使ってログインフローを再初期化してください。Intercom.loginUnidentifiedUser()
これによりセッション環境がリセットされ、競合のない未特定ログインが保証されます。
ベストプラクティス
セッションを分離してください。新しいログイン試行を始める前に必ず古いセッションをクリアしてください。
JWTをサーバー側で検証してください。トークンの整合性を確認する検証ロジックを使い、SDKに送信する前に確認してください。
APIシークレットを定期的にローテーションしてください。これによりセキュリティが維持され、トークンの漏洩リスクが減少します。
認証ログを監視してください。失敗したログインログを確認することで、繰り返し発生するJWTのフォーマットやタイミングの問題を特定できます。
よくある質問
JWTが有効に見えてもなぜ拒否されるのですか?
小さな不一致(user_idの大文字小文字や形式など)でもJWTは無効になります。ペイロード構造と署名シークレットがSDKの要件と完全に一致していることを確認してください。
JWTを複数のセッションで再利用できますか?
いいえ。JWTは単一使用または短時間のセッション向けでセキュリティを強化します。ログインごとに新しいトークンを必ず生成してください。
JWTが有効かどうかをテストするには?
JWTデコーダー(jwt.ioなど)を使ってペイロード構造を検査し、正しいuser_idと署名が含まれていることを確認してください。