OAuth
OAuth est un standard qui permet à une application d'accéder à certaines données d'un service, ou de vous connecter, sans jamais manipuler votre mot de passe. C'est le mécanisme derrière les boutons « Se connecter avec Google » : vous autorisez un accès précis et limité, via un jeton, plutôt que de confier vos identifiants à un tiers.
Quel problème OAuth résout-il ?
Avant OAuth, pour qu'une application accède à votre compte ailleurs (vos contacts, vos fichiers), il fallait souvent lui donner votre identifiant et votre mot de passe. C'était dangereux : l'application obtenait un accès total et permanent, et votre mot de passe se retrouvait stocké un peu partout. OAuth résout cela en introduisant une délégation d'accès maîtrisée. Vous ne donnez jamais votre mot de passe à l'application tierce ; vous vous authentifiez directement auprès du service de confiance (Google, par exemple), qui demande votre accord pour un accès précis, puis remet à l'application un jeton limité. Ce jeton ne donne accès qu'à ce que vous avez autorisé, et peut être révoqué à tout moment. Votre mot de passe, lui, ne quitte jamais le service d'origine.
Comment ça marche, étape par étape ?
Le parcours vous est familier sans que vous en connaissiez les rouages. Vous cliquez sur « Se connecter avec Google » dans une application. Celle-ci vous redirige vers Google, où vous vous identifiez — sur le site de Google, pas sur l'application. Google vous demande alors votre consentement : « cette application souhaite accéder à votre nom et votre email, acceptez-vous ? ». Si vous acceptez, Google renvoie l'application avec un jeton d'accès. L'application utilise ce jeton pour obtenir précisément ce que vous avez autorisé — ni plus, ni moins. À aucun moment elle n'a vu votre mot de passe. Ce ballet de redirections et de consentement est l'essence d'OAuth : prouver qui vous êtes et déléguer un accès limité, sans exposer vos identifiants.
OAuth, c'est de la connexion ou de l'autorisation ?
Les deux, et la distinction est utile. À l'origine, OAuth gère l'autorisation : déléguer l'accès à des ressources (« cette application peut lire mon agenda »). La connexion — prouver qui vous êtes pour ouvrir une session — relève plutôt d'OpenID Connect, une couche bâtie au-dessus d'OAuth. En pratique, les deux sont souvent combinés : « Se connecter avec Google » vous authentifie (qui vous êtes) et autorise l'application à récupérer quelques informations de profil (ce à quoi elle a droit). Pour un fondateur, l'essentiel à retenir : OAuth permet d'offrir une connexion fluide et sûre via des comptes existants, tout en encadrant précisément ce que votre produit peut faire avec ces accès.
Pourquoi proposer OAuth dans son produit ?
Pour deux bénéfices concrets. L'expérience, d'abord : se connecter en un clic via un compte existant réduit les frictions à l'inscription — pas de nouveau mot de passe à créer ni à retenir, ce qui améliore le taux de conversion. La sécurité, ensuite : votre produit n'a pas à stocker de mots de passe pour ces utilisateurs, donc moins de risques et de responsabilité en cas de fuite. OAuth permet aussi à votre produit de se connecter à d'autres services au nom de l'utilisateur (importer des données, publier, synchroniser) de façon encadrée. Cela dit, OAuth se met en place avec rigueur : mauvaise gestion des jetons et des permissions, et l'on ouvre des failles. C'est un standard éprouvé, mais qui mérite une implémentation soignée.
Jeton d'accès et jeton de rafraîchissement
Pour fonctionner sans redemander sans cesse votre accord, OAuth s'appuie sur deux types de jetons, et comprendre leur rôle évite bien des confusions. Le jeton d'accès est celui qui ouvre la porte : l'application le présente pour obtenir ce que vous avez autorisé. Par sécurité, il a une durée de vie courte — quelques minutes à quelques heures — de sorte que, même intercepté, il n'est utile que peu de temps. Mais on ne va pas vous redemander de vous connecter toutes les heures : c'est le rôle du jeton de rafraîchissement, à durée de vie longue, que l'application conserve précieusement pour obtenir de nouveaux jetons d'accès quand les anciens expirent, sans intervention de votre part. Cette mécanique combine confort et sécurité : un accès quotidien fluide, mais des jetons sensibles qui ne traînent jamais longtemps. Mal gérés — stockés sans protection, jamais expirés — ces jetons deviennent une faille ; bien gérés, ils sont la clé d'une expérience à la fois sûre et sans friction.
| Partage du mot de passe | OAuth | |
|---|---|---|
| L'app voit votre mot de passe | Oui | Jamais |
| Étendue de l'accès | Tout, en permanence | Limitée à ce que vous autorisez |
| Révocable facilement | Non | Oui, à tout moment |
| Exemple | — | « Se connecter avec Google » |
Les questions fréquentes
Un projet en tête ?
Décrivez-nous votre projet en deux minutes. Réponse sous 24h ouvrées, avec une première lecture concrète.