← Zurück zur Dokumentation

Verified Visitor Identity

Serverseitig signierte Identität für die sichere Zuordnung von Nutzern zu Chats und Tickets.

Empfohlene Architektur

  1. Ihr Backend validiert den angemeldeten Benutzer.
  2. Ihr Backend fordert ein signiertes Visitor-Token per S2S an.
  3. Ihr Frontend injiziert das Token in das SetChat Widget.
  4. Bei Logout oder Account-Wechsel wird die Widget-Session resetet.

SetChat API Vertrag (S2S)

Endpoint: POST /api/widget/visitor-token

Auth: Authorization: Bearer <SETCHAT_SERVER_TOKEN>

Body: siteApiKey, externalUserId, email, name, provider, metadata

Response: { token, expiresIn, expires_in }

Schnelltest (copy/paste cURL)

In 30 Sekunden können Sie das S2S-Minting direkt im Terminal mit Ihren Variablen testen. 

SETCHAT_API_URL=https://api.setchat.co
SETCHAT_SERVER_TOKEN=replace_with_server_token
SETCHAT_SITE_API_KEY=site_xxx

curl -X POST "$SETCHAT_API_URL/api/widget/visitor-token" \
  -H "Authorization: Bearer $SETCHAT_SERVER_TOKEN" \
  -H "Content-Type: application/json" \
  -d "{
    \"siteApiKey\": \"$SETCHAT_SITE_API_KEY\",
    \"externalUserId\": \"usr_demo_123\",
    \"email\": \"demo@example.com\",
    \"name\": \"Demo User\",
    \"provider\": \"setacademy\",
    \"metadata\": {\"role\": \"admin\"}
  }"

Erwartete Antwort (Beispiel):

{
  "token": "eyJhbGciOi...",
  "expiresIn": 300,
  "expires_in": 300,
  "expiresInLabel": "5m"
}

Wenn Sie 401 oder 400 erhalten, siehe Fehlerbehebungsseite.

Rotation und Widerruf (Ops)

  • S2S-Token rotieren: POST /api/tenants/:id/widget-identity/s2s-token/rotate
  • Alte Tokens widerrufen: POST /api/tenants/:id/widget-identity/s2s-token/revoke-previous
  • Empfohlene Reihenfolge: rotieren - Client deployen - vorherige Tokens widerrufen.