- Protection du compte : empêcher les accès non autorisés réduit les coûts de support, les pertes liées à la fraude et les atteintes à la réputation
- Validation du numéro de téléphone : un OTP qui est livré et saisi correctement confirme que le numéro est réel, actif et entre les mains de la personne qui l’a fourni
- Prévention de la fraude dès la porte d’entrée : les OTP lors de la création de compte dissuadent les fausses inscriptions, les comptes robots et les abus
- Socle réglementaire et de conformité : pour certains secteurs (finance, santé), l’authentification multifacteur est obligatoire. L’OTP par SMS est la méthode la plus accessible car elle fonctionne sur chaque téléphone sans aucune installation d’application requise
- Création de compte : confirmer le numéro de téléphone d’un nouvel utilisateur lors de l’inscription
- Connexion / authentification à deux facteurs : ajouter une seconde couche de vérification au-delà d’un mot de passe
- Réinitialisation de mot de passe : confirmer l’identité avant d’autoriser un changement d’identifiants
- Confirmation de transaction : vérifier une action à forte valeur comme un transfert d’argent ou un changement d’adresse
Exigences de consentement
Le consentement pour les messages OTP suit la même norme que les messages transactionnels. Un utilisateur saisissant son numéro de téléphone dans un formulaire qui inclut un texte de divulgation constitue un opt-in suffisant. La divulgation doit apparaître directement sur ou à proximité du champ du numéro de téléphone, et non sur une page distincte ni enfouie dans les conditions d’utilisation.Texte de divulgation requis
Exigences relatives au texte de divulgation et règles complètes de conformité de l’opt-in OTP.
Comment envoyer des messages OTP
Il existe deux façons d’envoyer des messages OTP avec OneSignal :| Méthode | Idéal pour | Ce que vous gérez |
|---|---|---|
| OneSignal Verify (Recommandé) | Les équipes qui souhaitent une solution gérée : génération de code, livraison et validation prises en charge pour vous | Configuration uniquement |
| Créez la vôtre | Les équipes qui ont besoin d’une logique de vérification personnalisée ou qui disposent déjà d’un système de génération de code | Génération de code, stockage, expiration, limitation de débit et validation |
OneSignal Verify
Verify n’est disponible que pour les clients OneSignal SMS (pas pour l’intégration Twilio).
Créer un service de vérification
Définissez un nom convivial (le nom de votre marque), la longueur du code et la fréquence à laquelle un code est régénéré.
Envoyer un code de vérification
Fournissez le numéro de téléphone de l’utilisateur et le canal (
sms). Vous pouvez éventuellement spécifier un code personnalisé ou remplacer la longueur du code.Par défaut, le message envoyé à l’utilisateur final indique : « Votre code de vérification [nom de marque] est : XXXXXX. »Considérations supplémentaires
- Expiration : Les codes expirent après 10 minutes par défaut. Contactez le support pour personnaliser.
- Nouvelles tentatives : Gérez les tentatives de vérification échouées et implémentez une logique de nouvelle tentative dans votre application.
- Sécurité : Suivez les bonnes pratiques pour gérer les données sensibles comme les numéros de téléphone et les codes de vérification.
Créez votre propre authentification par code
Vous pouvez également gérer vous-même la logique de vérification : générer des codes, suivre l’expiration et valider les tentatives dans votre propre backend. Avec cette approche, vous envoyez des messages OTP via l’API Create Message de OneSignal sous forme de SMS standard déclenché par API.Générer un code dans votre backend
Généralement 4 à 8 chiffres avec une fenêtre d’expiration de 5 à 10 minutes.
L'envoyer via l'API OneSignal
Appelez le point de terminaison Create Message avec le numéro de téléphone du destinataire, votre expéditeur OTP et un corps de message contenant le code (par exemple, « Votre code de vérification [nom de marque] est 847291. Il expire dans 10 minutes. »).
Vos responsabilités
- Générer et stocker les codes de manière sécurisée
- Appliquer l’expiration : les codes ne doivent pas être valides indéfiniment
- Limitation de débit : plafonnez le nombre de codes qu’un même numéro de téléphone peut demander dans une fenêtre donnée pour prévenir la fraude par pompage de SMS (SMS pumping)
- Limites de tentatives : verrouillez après un nombre défini de saisies échouées (par exemple, 3 à 5 tentatives) pour prévenir les attaques par force brute
- Logique de nouvelle tentative : gérer les cas où le SMS échoue à être livré
Bonne pratique de l’expéditeur dédié
Bien que vous puissiez envoyer des messages OTP depuis n’importe quel expéditeur, il est recommandé d’utiliser un expéditeur dédié approuvé pour le cas d’usage d’authentification. Si vos messages OTP partagent un expéditeur avec des messages promotionnels ou transactionnels, un seul opt-out STOP signifie que l’utilisateur ne peut plus recevoir de codes de vérification, le verrouillant de fait hors de son propre compte. Un expéditeur OTP dédié maintient les opt-out cantonnés afin qu’une désinscription marketing ne bloque jamais un code de sécurité.Validation d’audience
Une liste d’abonnés propre est essentielle pour la délivrabilité des OTP. Des numéros invalides ou déconnectés signifient que les codes de vérification n’atteignent pas l’utilisateur, ce qui peut bloquer la création de compte, verrouiller les utilisateurs hors des réinitialisations de mot de passe et éroder la confiance dans votre flux d’authentification. Validez les numéros de téléphone avec Lookup au moment de la collecte, ne collectez que des numéros pour les régions dans lesquelles vous disposez d’une ressource d’expéditeur approuvée, et stockez tous les numéros au format E.164 (par exemple,+14155551234).
Validation d'audience
Détails complets sur Lookup, les restrictions régionales, la vérification de propriété et le formatage E.164.
FAQ
Quelle est la différence entre OneSignal Verify et créer mon propre OTP ?
OneSignal Verify gère la génération de code, la livraison et la validation pour vous. Vous ne gérez que la configuration. Créer la vôtre vous donne plus de contrôle sur la logique de vérification, mais vous êtes responsable de la génération de code, du stockage, de l’expiration, de la limitation de débit et de la gestion des nouvelles tentatives. OneSignal Verify n’est disponible que pour les clients OneSignal SMS (pas pour l’intégration Twilio).Combien de temps durent les codes de vérification avec OneSignal Verify ?
Les codes expirent après 10 minutes par défaut. Contactez le support OneSignal pour personnaliser la fenêtre d’expiration.Pourquoi ai-je besoin d’un expéditeur dédié pour les OTP ?
Si un utilisateur envoie STOP par texto à un expéditeur qui gère à la fois les OTP et d’autres types de messages, il est désinscrit de tous les messages de cet expéditeur, y compris les codes de vérification. Cela peut le verrouiller hors de son compte. Un expéditeur OTP dédié maintient les opt-out proprement cantonnés.Que se passe-t-il si un OTP échoue à être livré ?
Avec OneSignal Verify, contactez le support si vous constatez des échecs de livraison généralisés. Si vous créez la vôtre, implémentez une logique de nouvelle tentative dans votre backend et surveillez les codes d’erreur dans Audience Activity. Consultez les rapports de messages SMS pour le dépannage des codes d’erreur.Puis-je utiliser des messages OTP pour la vérification lors de la création de compte ?
Oui. C’est l’un des cas d’usage les plus courants : envoyer un code lors de l’inscription pour confirmer que l’utilisateur possède le numéro de téléphone qu’il a fourni. Lookup peut également aider à cette étape pour valider le numéro avant l’envoi.Pages associées
Opt-in et collecte SMS
Méthodes de collecte, texte de divulgation requis et validation d’audience pour tous les types de programmes.
Messagerie transactionnelle
Cas d’usage transactionnels et points de collecte aux côtés des programmes OTP.
Rapports de messages SMS
Métriques de livraison et codes d’erreur SMS pour le dépannage des échecs d’OTP.
API Create Message
Référence de l’API pour déclencher les envois d’OTP et transactionnels depuis votre backend.