Authentification web : OAuth2, OIDC, JWT, SAML, SSO

OAuth2, OpenID Connect, JWT, SAML, SSO, login social : qui prouve son identité, qui délègue un accès, quel jeton sert à quoi — au clair, avec les bonnes pratiques de production.

Le flux OAuth2 (Authorization Code + PKCE)

Le parcours pas à pas quand un utilisateur se connecte via OAuth2/OIDC : qui parle à qui, et quel jeton sert à quoi.

De l'ouverture de l'app aux jetons : 5 étapes
🔐 OAUTH2 · AUTHORIZATION CODE + PKCE Utilisateur App Serveur d'autorisation API ① ouvre l'app ② redirection · login + MFA ③ code (usage unique) ④ code + PKCE → jetons ⑤ access_token id_token (OIDC) = identité access_token = accès API

Authorization Code + PKCE est le flux recommandé (web, mobile, SPA) : le code à usage unique ne sert à rien sans le secret PKCE détenu par l'app. L'id_token (OIDC) prouve l'identité de l'utilisateur ; l'access_token donne l'accès à l'API.

🎯 Testez-vous

Six questions pour vérifier que les bases de l'authentification web sont bien acquises.

Retour aux outils développeurs