Si tu chatbot de IA Eddy está desplegado en un sitio privado o autenticado, puedes usar JWT (JSON Web Tokens) para verificar la identidad de los usuarios antes de que puedan interactuar con el chatbot. Esto garantiza que solo los usuarios autenticados de tu sitio puedan acceder al chatbot, protegiendo el contenido sensible de la base de conocimiento de accesos no autorizados.
La autenticación JWT para el chatbot funciona junto con el inicio de sesión de tu aplicación actual. Tu sistema gestiona la autenticación de usuarios y la generación de tokens. El chatbot entonces utiliza ese token para verificar la identidad del usuario antes de permitir la interacción.
La autenticación JWT es una parte de la configuración de seguridad del chatbot. Para restringir también qué dominios pueden incrustar tu chatbot, consulta Configuración de seguridad del chatbot
Cuándo usar JWT para el chatbot
Utiliza la autenticación JWT para el chatbot cuando:
- Tu base de conocimientos o sitio web requiere que los usuarios inicien sesión antes de acceder al contenido.
- Quieres que la sesión del chatbot esté vinculada a la identidad del usuario autenticado.
- Debes evitar que usuarios no autenticados interactúen con el chatbot en proyectos privados o de visibilidad mixta.
Antes de que empieces
- Debes haber creado un chatbot de Eddy AI y haberlo integrado en tu sitio. Aprende a crear un chatbot.
- Ten preparados los siguientes detalles antes de configurar JWT: ID del cliente, secreto del cliente, ID del chatbot y endpoint del token. Estos se generan cuando configuras JWT en Document360.
- Debes tener acceso a tu servidor backend para implementar el endpoint del token.
Cómo configurar la autenticación JWT para el chatbot
- Navega hasta Chatbot de IA en la barra de navegación izquierda y haz clic en Personalizar.
- Navega a la pestaña de Seguridad.
- Activa el interruptor JWT .
- Configura los siguientes campos:
| Campo | Descripción |
|---|---|
| ID de cliente | El identificador único para tu aplicación de cliente. |
| Chatbot ID | El identificador único de tu chatbot. |
| Punto final de token | La URL que tu servidor utiliza para generar y devolver tokens JWT. |
| Secreto del cliente | La clave secreta utilizada para firmar y verificar tokens JWT. Haz clic en Regenerar para generar un nuevo secreto. Guárdalo de forma segura porque solo se muestra una vez y no se almacena en Document360. |
- Configura tus URLs de autorización.
- Haz clic en Guardar para aplicar cambios.
El chatbot ahora requiere verificación JWT antes de que los usuarios puedan interactuar con él.
El secreto del cliente se comparte entre todos los widgets y chatbots compatibles con JWT del proyecto. Si regeneras el secreto, debes actualizarlo inmediatamente en todos los widgets y aplicaciones configurados por JWT para evitar fallos de autenticación.
Mejores prácticas
- Activa JWT para el chatbot siempre que tu base de conocimientos requiera que los usuarios inicien sesión. Esto vincula la sesión del chatbot al usuario autenticado y evita accesos no autorizados.
- Rota periódicamente el secreto de tu cliente. Trátalo como una contraseña y actualiza la configuración de tu endpoint de token cada vez que lo rotes.
- Prueba el flujo de autenticación a fondo tras la configuración antes de desplegarlo en producción.
- Si encuentras problemas de autenticación tras generar el secreto del cliente, verifica que el nuevo secreto se haya actualizado en todos los widgets y chatbots configurados por JWT en el proyecto.
- Para controles adicionales de seguridad de los chatbots, como restringir qué dominios pueden incrustar el chatbot, consulta Configuración de seguridad del chatbot.
Preguntas frecuentes
¿Qué debería comprobar si la autenticación JWT no funciona?
Verifica que el secreto del cliente y el endpoint del token estén correctamente configurados. También confirma que el usuario está autenticado en tu aplicación antes de que se realice una solicitud al endpoint del token. Si recientemente has regenerado el secreto del cliente, asegúrate de que el nuevo valor se haya actualizado en todas partes donde se utiliza.
¿Qué pasa si pierdo el secreto de mi cliente?
Tendrás que regenerar un nuevo secreto del cliente y actualizar la configuración de tu endpoint de token en consecuencia. El secreto del cliente se muestra solo una vez en el momento de la generación y no se almacena en Document360.
¿Se comparte el secreto del cliente con otras funciones habilitadas para JWT en mi proyecto?
Sí. El secreto del cliente se comparte entre todos los widgets y chatbots compatibles con JWT del proyecto. Regenerarla afecta a todas las integraciones que lo usan. Actualiza el nuevo secreto en cada widget y aplicación afectado sin demora.
¿Puedo usar JWT para el chatbot sin activar JWT SSO para la base de conocimiento?
Sí. La autenticación JWT para el chatbot se configura de forma independiente del SSO de JWT para el sitio de la base de conocimiento. Puedes activar uno sin el otro dependiendo de tus necesidades.