1.5 KiB
1.5 KiB
title, created, updated, type, tags, confidence, contested, sources
| title | created | updated | type | tags | confidence | contested | sources | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| OAuth 2.0 | 2026-06-06 | 2026-06-06 | concept |
|
high | false |
|
🔓 OAuth 2.0
Définition Courte
Protocole standard d'autorisation déléguée : permet à une application tierce d'accéder à des ressources d'un utilisateur sur un autre service, sans partager le mot de passe.
Explication Détaillée
OAuth 2.0 (RFC 6749) définit 4 rôles :
- Resource Owner : l'utilisateur.
- Client : l'app qui veut accéder (ex: une app mobile).
- Authorization Server : authentifie l'utilisateur et émet des tokens.
- Resource Server : l'API qui héberge les données.
Flow le plus courant (Authorization Code) : l'utilisateur est redirigé vers le provider (Google, GitHub), y consent, et un access token est renvoyé à l'app.
À ne pas confondre avec OpenID Connect (OIDC) qui ajoute une couche d'identité par-dessus OAuth (permet de récupérer le profil utilisateur).
Cas d'Usage
- "Se connecter avec Google/GitHub/Apple".
- Accès d'API tierces (ex: une app accède à vos Google Drive).
- Délégation d'accès entre services internes.
Outils Liés
- Keycloak (self-host).
- Auth0, Clerk (SaaS).
- Dex (IdP pour Kubernetes).
Pages Liées
Questions Ouvertes
- OAuth 2.1 va-t-il simplifier l'écosystème (moins de flows) ?
- Les passkeys vont-ils remplacer OAuth à terme ?