Bird Verify

En preview

L<highlight>API de vérification</highlight> sans rien à stocker.

CommencerLire la documentation
Mise en place en :
Cursor

Envoyez un code à usage unique par e-mail, SMS ou WhatsApp, puis vérifiez-le par destinataire, sans identifiant de vérification à conserver entre les deux appels. L'ordre des canaux, l'expéditeur et les règles de code sont une configuration par pays, pas une refonte. Même authentification et idempotence que tous les autres canaux Bird, car la même équipe les a tous construits. Voice est le prochain déploiement.

verify.ts
200 · pending
import { BirdClient } from "@messagebird/sdk";

const bird = new BirdClient({ apiKey: process.env.BIRD_API_KEY! });

// Send the code, then check it by recipient.
await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
}).safe();

const { data } = await bird.verify.verifications.check({
  to:   { phone_number: "+15551234567" },
  code: userInput,
}).safe();

Deux appels de l'installation à un utilisateur vérifié

Envoyez un code, puis vérifiez-le, dans le langage que vous utilisez déjà.

Create-or-retry envoie le code ; check le confirme par destinataire. Deux appels, et aucun identifiant de vérification à transmettre entre eux.

1
2
3
4
5
6
7
8
9
10
11
12
import { BirdClient } from "@messagebird/sdk";

const bird = new BirdClient({ apiKey: process.env.BIRD_API_KEY! });

await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
}).safe();

const { data } = await bird.verify.verifications.check({
  to:   { phone_number: "+15551234567" },
  code: "482917",
}).safe();

Dix choses que vous ne construisez pas quand la vérification est l'API.

Des primitives concrètes, nommées et configurables. Pas de discours vague.

  1. 01

    Créer ou réessayer en un seul appel.

    Renvoyez le même destinataire et nous reprenons la session active et renvoyons le code une fois le délai de récupération passé. Pas d'endpoint de renvoi séparé, pas de vérifications en double.

  2. 02

    Vérification par destinataire. Rien à stocker.

    Soumettez le destinataire et le code ; nous résolvons la session à partir de la paire configuration-destinataire. Aucun identifiant de vérification à persister entre l'envoi et la vérification.

  3. 03

    E-mail, SMS et WhatsApp au lancement.

    Le destinataire que vous transmettez détermine le canal : une adresse e-mail déclenche une vérification par e-mail, un numéro de téléphone par SMS ou WhatsApp. Changer de canal se résume à modifier un champ, pas à réaliser une nouvelle intégration. La voix arrive ensuite, et le basculement automatique entre canaux est en cours de déploiement.

  4. 04

    Ordre des canaux par pays, en configuration.

    Définissez l'ordre des canaux, l'expéditeur et les canaux actifs, par pays, comme une ressource de configuration de premier ordre plutôt qu'un ticket de support.

  5. 05

    Des codes que vous ne voyez jamais.

    Généré à partir d'une source aléatoire cryptographique, stocké uniquement sous forme de HMAC, comparé en temps constant. Le code en clair ne touche jamais votre stack ni nos logs.

  6. 06

    Code, TTL et tentatives configurables.

    Six chiffres par défaut, configurable de 4 à 10 ; une fenêtre de 10 minutes ; 5 tentatives ; un délai de renvoi de 60 secondes, défini par configuration. La longueur du code peut aussi être modifiée par requête.

  7. 07

    Chaque code reste valide jusqu'à la fin de la session.

    Un message retardé et un code fraîchement renvoyé fonctionnent tous les deux, car nous n'invalidons pas le code précédent lorsqu'un nouveau est émis.

  8. 08

    Un code erroné renvoie un 200, pas une exception.

    Vérifiez les réponses avec un résultat booléen — ce code est-il validé, oui ou non — et une raison qui précise en cas d'échec : invalide, expiré, déjà vérifié ou nombre de tentatives épuisé. Vous branchez sur un champ, jamais sur une erreur levée.

  9. 09

    Limites de débit et quotas intégrés.

    Plafonds d'envoi par destinataire, limite de tentatives par vérification et quota journalier par workspace — chacun renvoyant un 429 avec Retry-After — pour que la force brute s'épuise avant vous.

  10. 10

    Même contrat que le reste de Bird.

    Authentification Bearer, clé d'idempotence, identifiants typés vrf_, une seule enveloppe d'erreur. Le handler que vous avez écrit pour l'e-mail fonctionne déjà pour la vérification.

Découvrez la plateforme Verify

Chaque fonctionnalité en détail. Une seule API, un seul jeu de clés.

SMS OTPCodes à usage unique par SMS, avec une portée mondiale et des limites de débit intégrées.Email OTPVérifiez par e-mail sur le réseau qui achemine déjà vos e-mails transactionnels.WhatsApp OTPEnvoyez des codes sur WhatsApp en tant que canal configurable dans le même plan.Voice OTPEn déploiement : un code vocal pour les lignes fixes, l'accessibilité et les utilisateurs difficiles à joindre.Orchestration des canauxOrdre des canaux par pays, expéditeurs et activation/désactivation en tant que ressource de configuration de premier ordre.Anti-abus et sécurité des codesCodes hachés, plafonds par destinataire, verrouillage après tentatives et feuille de route anti-fraude.

Ne stockez rien entre l'envoi et la vérification.

La plupart des API de vérification vous renvoient un identifiant à persister, rechercher et soumettre avec le code. Bird résout la session à partir du destinataire : aucun état par vérification de votre côté.

La plupart des API de vérification

La création renvoie un identifiant que vous stockez, puis vous recherchez la vérification pour soumettre le code.

id-keyed.ts
const { id } = await api.verifications.create({
  to: "+15551234567",
});
// persist id somewhere, then later…
await api.verifications.check({ id, code });

Bird Verify

Vérifiez par destinataire. Rien à transmettre entre les deux appels.

by-target.ts
await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
}).safe();
// no id to store; check by the same recipient
await bird.verify.verifications.check({
  to: { phone_number: "+15551234567" }, code,
}).safe();

Le routage par pays est de la configuration.

Définissez l'ordre des canaux, l'expéditeur et les canaux actifs par pays — WhatsApp en priorité sur un marché, SMS uniquement sur un autre. C'est une ressource de configuration de premier ordre, résolue dans le plan de chaque vérification. Voir orchestration des canaux.

per-country.ts
200
await bird.verify.verifications.configurations.countries.upsert(
  "vfc_login",
  "BR",
  { channels: [
    { channel: "whatsapp", state: "enabled" },
    { channel: "sms", state: "enabled" },
  ] },
).safe();

La vérification est aussi une décision produit : la même API alimente l<twofa>authentification à deux facteurs</twofa> et la <passwordless>connexion sans mot de passe</passwordless>. Vous validez dabord un numéro ? Associez-le à Lookup. L'authentification réseau silencieuse et les applications d'authentification TOTP sont sur la feuille de route.

Pourquoi nous développons Verify

Parce que le code qui permet à un utilisateur de se connecter ne devrait pas avoir besoin de sa propre table en base de données.

Lire la documentation Verify

L'OTP est le canal où un code qui n'arrive pas est une inscription qui n'aboutit pas. Bird gère déjà l'e-mail et le SMS à grande échelle : Verify, c'est cette même capacité de livraison plus la génération du code, la session, le plan de canaux par pays et les limites de débit — derrière deux endpoints qui ne stockent rien de votre côté et répondent avec la même structure que tous les autres canaux Bird.

verify.ts
200 · pending
import { BirdClient } from "@messagebird/sdk";

const bird = new BirdClient({ apiKey: process.env.BIRD_API_KEY! });

// Send the code, then check it by recipient.
await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
}).safe();

const { data } = await bird.verify.verifications.check({
  to:   { phone_number: "+15551234567" },
  code: userInput,
}).safe();

Si vous avez intégré SMS, vous avez intégré Verify.

Même modèle d'authentification, même contrat d'idempotence, même enveloppe d'erreur. La différence : Verify génère le code, choisit le canal et gère les limites de débit — vous n'avez pas à le faire.

Verify

Un appel envoie le code ; un autre le vérifie par destinataire. Nous gérons le code, la session et les limites.

verify.ts
await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
});

SMS

L'envoi brut, pour quand vous voulez gérer vous-même la génération du code et la politique de réessai.

notify.ts
await bird.sms.send({
  from: "Bird",
  to:   "+15551234567",
  text: `Your code is ${code}.`,
});

FAQ Verify API

Comment ajouter la vérification à mon application ?+
Deux appels : créez une vérification pour un destinataire, puis vérifiez le code qu'il saisit. La vérification se fait par destinataire, donc aucun identifiant de vérification à stocker entre les deux — l'identifiant de configuration (une constante) et l'adresse suffisent.
Sur quels canaux puis-je vérifier ?+
Email, SMS et WhatsApp aujourd'hui. Voice est en cours de déploiement comme canal supplémentaire, et l'ordre des canaux, l'expéditeur et les canaux actifs sont configurables par pays — sans modification de code.
Dois-je stocker un identifiant de vérification ?+
Non. Le renvoi utilise le même appel de création (create-or-retry), et la vérification se fait par adresse du destinataire, donc aucune vérification ne nécessite d'état par requête de votre côté. Un identifiant est renvoyé si vous souhaitez consulter le statut ultérieurement, mais il est facultatif.
Que se passe-t-il quand quelqu'un saisit le mauvais code ?+
La vérification renvoie 200 avec un résultat — invalid tant qu'il reste des tentatives, puis failed une fois épuisées, ou expired une fois la fenêtre dépassée. Un mauvais code est un résultat normal sur lequel vous branchez votre logique, pas une erreur HTTP.
Comment les codes sont-ils générés et stockés ?+
Les codes sont générés à partir d'une source aléatoire cryptographique et stockés uniquement sous forme de hash HMAC-SHA256, comparés en temps constant. Le code en clair n'est jamais renvoyé et jamais écrit dans votre stack ni dans nos logs. La longueur (4 à 10 chiffres), le TTL et le nombre de tentatives sont configurables.
Combien ça coûte ?+
Verify est en preview et ne figure pas encore sur la grille tarifaire publique. Contactez-nous et nous vous présenterons les tarifs adaptés à vos canaux et volumes.
De qui mes utilisateurs voient-ils le code ?+
Authifly, la marque de vérification de Bird. C'est l'identité sur chaque code que vos utilisateurs reçoivent : l'e-mail provient de otp@verify.authifly.com ou de votre propre domaine vérifié, et SMS et WhatsApp portent la marque Authifly. authifly.com est une page publique qui rassure les destinataires sur le fait qu'Authifly envoie des codes à usage unique légitimes pour le compte d'une entreprise. Bird est la plateforme sur laquelle vous construisez ; Authifly est ce que le destinataire voit.

L'expéditeur que vos utilisateurs voient : Authifly

Vos utilisateurs finaux reçoivent leurs codes de la part d'Authifly, la marque de vérification de Bird. Sur les expéditeurs partagés, l'e-mail OTP provient de otp@verify.authifly.com et le SMS mentionne Authifly dans le message, de sorte que les codes arrivent sous une identité cohérente que vous n'avez pas à gérer. Si un destinataire reçoit un code inattendu, authifly.com le rassure en indiquant qu'Authifly envoie des codes à usage unique légitimes pour le compte d'une entreprise. Authifly est opéré par Bird B.V.

Visiter authifly.com

La vérification sur la même plateforme que le reste de votre messagerie.

Verify est en version preview. Commencez à développer dès aujourd'hui, ou contactez-nous pour discuter des canaux, des volumes et des tarifs dont vous avez besoin.

CommencerContactez-nous

Commencez avec un seul canal.
Ajoutez les autres quand vous êtes prêt.

Une clé API de test est disponible immédiatement. L'accès production se débloque dès que vous ajoutez un moyen de paiement et vérifiez un expéditeur.

CommencerLire la doc

Vous utilisez Claude Code, Cursor ou Codex ? Copiez un prompt de configuration et votre agent installe la CLI Bird et les compétences pour vous. Choisissez le vôtre :

Cursor