Le standard pour « Se connecter avec X ». Flows, tokens, PKCE — et là où l'auth maison devient dangereuse.
Catégorie · Sécurité & Conformité
Le standard derrière le « se connecter avec X ».
OAuth 2.0 est un protocole d'autorisation : il définit comment une application peut accéder à une autre au nom d'un utilisateur, sans connaître son mot de passe. OpenID Connect (OIDC) s'appuie dessus et ajoute l'authentification — c'est-à-dire la question de savoir qui est l'utilisateur.
Au cœur du dispositif se trouvent des flows qui échangent des tokens. Pour les apps web et mobiles, le standard actuel est l'Authorization Code Flow avec PKCE, car il fonctionne même sans secret client stocké en lieu sûr.
Quand nous misons dessus.
Partout où les utilisateurs se connectent via des identités existantes ou où un produit doit accéder à des systèmes tiers — Microsoft Entra, Google, GitHub. Plutôt que de gérer nous-mêmes les mots de passe, nous nous appuyons sur des fournisseurs d'identité établis.
Cela réduit sensiblement la surface d'attaque et l'effort : gestion des sessions, MFA et réinitialisation de mots de passe sont assurées par le fournisseur, qui en fait son cœur de métier.
Là où une authentification maison devient dangereuse.
OAuth est subtil. Des redirect-URIs mal configurées, l'absence de PKCE ou des tokens mal validés ouvrent de réelles failles. Une authentification maison échoue rarement sur le login, presque toujours sur les cas limites — renouvellement de token, déconnexion, révocation.
Notre règle : utiliser des bibliothèques et fournisseurs éprouvés, ne pas réinventer le protocole.
