Le magic link remplace-t-il le mot de passe ou s'y ajoute-t-il ?

Il s'y ajoute. Le formulaire standard de connexion par identifiant et mot de passe reste affiché comme d'habitude. Le module injecte simplement un second formulaire de connexion par email sous le premier. Vos clients peuvent continuer à utiliser leur mot de passe s'ils le préfèrent, ou choisir la connexion par lien.

Que se passe-t-il si l'email arrive après l'expiration du lien ?

Le lien renvoie sur la page de connexion avec un message clair indiquant que le lien a expiré, et invite à en demander un nouveau. Par défaut, les liens sont valables 15 minutes, ce qui couvre largement les délais de remise des emails standards. Vous pouvez augmenter cette durée jusqu'à 24 heures dans la configuration back-office.

Le lien peut-il être réutilisé ?

Non, jamais. Dès le clic réel de l'utilisateur, le token est marqué consommé en base. Une seconde tentative renverra sur la page de connexion avec un message d'erreur. Si le client a besoin de se reconnecter, il peut redemander un nouveau lien à tout moment.

Comment le module résiste-t-il aux scanners email comme Outlook Safe Links ?

C'est l'apport principal de ce module par rapport à une implémentation naïve. Quand un scanner visite le lien magique avec une requête GET, il arrive sur une page de confirmation autonome qui ne consomme pas le token. Le token n'est consommé que lors du POST déclenché par le clic réel de l'utilisateur sur le bouton de confirmation. Les scanners email ne soumettent pas de formulaires arbitraires, donc ils ne peuvent pas brûler le lien. C'est le même pattern qu'utilisent Slack, Notion, Vercel et Auth0.

Faut-il configurer un serveur SMTP particulier ?

Non. Le module utilise le système d'envoi d'emails natif PrestaShop. Si vos emails transactionnels habituels (confirmation de commande, création de compte) arrivent correctement, les emails magic link arriveront de la même manière. Aucun paramétrage SMTP supplémentaire n'est requis.

Que faire si l'email n'arrive pas chez le client ?

Trois causes possibles, par ordre de fréquence : email dans les spams (vérifier le SPF et le DKIM du domaine d'envoi), rate limit atteint (le client a déjà demandé 3 liens dans l'heure, valeur paramétrable), ou compte inactif côté PrestaShop. Le compteur de la page de configuration vous permet de voir si le lien a bien été émis côté serveur.

Le module fonctionne-t-il avec mon thème personnalisé ?

Oui. La page de confirmation est rendue comme un document HTML5 autonome, indépendamment du thème actif. Cela garantit un rendu correct même sur des thèmes très personnalisés ou construits sur des frameworks comme HTML5 Boilerplate. Le formulaire de demande, lui, s'injecte naturellement sous le formulaire de connexion standard via le hook PrestaShop dédié, et hérite des styles du thème.

Quelle redirection après connexion réussie ?

Trois choix dans la configuration : Mon compte (par défaut, le plus naturel), Historique des commandes (pour les boutiques B2B où le suivi de commande est central), ou Page d'accueil. La redirection est respectée pour toutes les connexions par magic link.

Le module a-t-il un impact sur le SEO ?

Aucun. Toutes les pages du module sont marquées en noindex via l'en-tête X-Robots-Tag pour ne pas être indexées par Google. La page de confirmation porte également un meta robots noindex. Les pages de connexion existantes ne sont pas modifiées.

Que se passe-t-il à la désinstallation du module ?

La table des tokens est supprimée, ainsi que toutes les configurations associées. Aucun client n'est affecté, aucun mot de passe modifié. Le formulaire standard de connexion par identifiant et mot de passe continue de fonctionner normalement. La désinstallation est totalement réversible : il suffit de réinstaller le module et de reconfigurer les paramètres.

Module Magic Link PrestaShop 8 & 9 — connexion sans mot de passe

La version longue

Tout ce que vous voudriez savoir avant d'installer.

Un regard détaillé sur le fonctionnement de DataFirefly Magic Link, pourquoi nous l'avons conçu ainsi, et la réflexion derrière les fonctionnalités ci-dessus.

§ 01

Pourquoi remplacer le mot de passe ?

Selon les études e-commerce, 30 à 40 % des paniers abandonnés au moment de la connexion le sont à cause d'un mot de passe oublié. Et chaque demande de réinitialisation génère un email, un délai, parfois un ticket support. Le magic link supprime cette friction : le client saisit son email, reçoit un lien, clique, et il est connecté. Plus simple pour lui, moins de support pour vous, et un parcours de commande plus rapide.

§ 02

Comment fonctionne le module

Sous le formulaire de connexion standard, un second formulaire propose la connexion par email. Le client saisit son adresse, une requête AJAX génère un token aléatoire de 256 bits, en stocke uniquement le hash SHA-256 en base, et envoie un email contenant le token brut. Le client clique sur le lien dans l'email, arrive sur une page de confirmation, valide d'un clic, et il est authentifié dans la session PrestaShop comme avec une connexion classique. Les hooks d'authentification natifs sont déclenchés, donc tous vos autres modules continuent de fonctionner normalement.

§ 03

Sécurité conçue pour la production

Le token brut n'existe que dans l'email envoyé. En base, seul le hash SHA-256 est stocké. Une fuite de la table ne donne donc aucun lien utilisable. Chaque token est à usage unique et marqué consommé dès qu'il est utilisé. La durée de validité est configurable (15 minutes par défaut, maximum 24 heures). Un rate limiting double surveille le nombre de demandes par adresse IP et par compte client sur une heure glissante, avec valeurs paramétrables. Et la réponse AJAX est volontairement générique pour empêcher un attaquant de distinguer un compte qui existe d'un compte qui n'existe pas.

§ 04

Le problème des scanners email, et la solution

Outlook avec Safe Links, Gmail avec son aperçu, les antivirus d'entreprise et les proxies de sécurité visitent automatiquement chaque lien dans les emails reçus pour les scanner. Si le module consommait le token au premier GET, ces scanners brûleraient le lien avant même que le client puisse cliquer. Le module utilise donc un flow en deux temps : le GET affiche une page de confirmation autonome avec un bouton, et seul le POST déclenché par le clic réel consomme le token. Les scanners ne soumettent pas de formulaires arbitraires, donc ils ne peuvent pas brûler le lien. C'est le pattern utilisé par Slack, Notion, Vercel et Auth0 pour leurs magic links.

§ 05

Page de confirmation universelle

La page sur laquelle arrive le client après avoir cliqué le lien est rendue comme un document HTML5 autonome, indépendant du thème PrestaShop. Cela garantit un rendu parfait sur n'importe quel thème — Classic, Hummingbird, Warehouse, MySmartBook ou personnalisé. La page reste sobre, centrée, avec le nom de la boutique en en-tête, un titre de bienvenue personnalisé, un bouton bleu de validation et une note de sécurité. Aucune dépendance CSS externe, aucun framework JavaScript chargé, rendu instantané.

§ 06

Multilingue automatique

Le module fournit des templates emails HTML et texte brut traduits dans les quatre langues officielles de PrestaShop France : français, anglais, espagnol et allemand. La langue de l'email envoyé correspond automatiquement à la langue du compte client. Les chaînes d'interface (formulaire de demande, page de confirmation, messages d'erreur) sont également traduites via le système de traduction PrestaShop standard, donc personnalisables depuis le back-office si besoin.

§ 07

Configuration back-office et statistiques

Une page de configuration accessible depuis Gestionnaire de modules expose tous les paramètres : activation, affichage du formulaire sur la page de connexion, durée de validité, plafonds de rate limiting, redirection après connexion. Trois compteurs en temps réel affichent les tokens actifs, les connexions des dernières 24 heures et les liens émis. Un bouton permet de purger manuellement les tokens expirés. La sauvegarde utilise un pattern POST puis redirect puis GET pour éviter les faux positifs des classificateurs de phishing comme Google Safe Browsing.

PrestaShop

WordPress / WooCommerce

Shopware 6

DataFirefly Magic Link

La version courte.

Connexion en un clic, sans mot de passe

Sécurité de niveau bancaire

Résistant aux scanners email

Multilingue de série

Tout ce que vous voudriez savoir avant d'installer.

Pourquoi remplacer le mot de passe ?

Comment fonctionne le module

Sécurité conçue pour la production

Le problème des scanners email, et la solution

Page de confirmation universelle

Multilingue automatique

Configuration back-office et statistiques

La liste complète.

Quoi livré.

La mentions légales.

Licence & livraison

Compatibilité

Quoi utilisateurs réels disent.

Quoi que ce soit d'encore peu clair?

Poser une question

DataFirefly Magic Link

Connexion en un clic, sans mot de passe

Sécurité de niveau bancaire

Résistant aux scanners email

Multilingue de série

Pourquoi remplacer le mot de passe ?

Comment fonctionne le module

Sécurité conçue pour la production

Le problème des scanners email, et la solution

Page de confirmation universelle

Multilingue automatique

Configuration back-office et statistiques

Licence & livraison

Compatibilité

Modules souvent achetés ensemble.