OAuth2, OpenID Connect, JWT, SAML, SSO, login social : qui prouve son identité, qui délègue un accès, quel jeton sert à quoi — au clair, avec les bonnes pratiques de production.
Le parcours pas à pas quand un utilisateur se connecte via OAuth2/OIDC : qui parle à qui, et quel jeton sert à quoi.
Authorization Code + PKCE est le flux recommandé (web, mobile, SPA) : le code à usage unique ne sert à rien sans le secret PKCE détenu par l'app. L'id_token (OIDC) prouve l'identité de l'utilisateur ; l'access_token donne l'accès à l'API.
Six questions pour vérifier que les bases de l'authentification web sont bien acquises.