OAuth 2.0

OAuth 2.0 (RFC 6749) est un framework d'autorisation qui permet à une application tierce d'accéder à des ressources protégées d'un utilisateur sur un autre service, sans que l'utilisateur partage son mot de passe. Par exemple : autoriser Spotify à publier sur votre compte Facebook, ou Zapier à lire vos emails Gmail.

Les acteurs OAuth : le Resource Owner (utilisateur), le Client (application tierce), l'Authorization Server (émet les tokens), le Resource Server (héberge les ressources). Les flux principaux : Authorization Code (avec PKCE pour les apps publiques), Client Credentials (machine-to-machine), Device Code (TV, IoT), Refresh Token (renouvellement). Le flow Implicit est désormais déprécié.

OAuth 2.0 est strictement un protocole d'autorisation ("que pouvez-vous faire ?"), pas d'authentification ("qui êtes-vous ?"). C'est OpenID Connect (OIDC), construit par-dessus OAuth, qui fournit l'authentification via un ID Token. Les API modernes (Google, Microsoft, GitHub, Stripe) utilisent OAuth 2.0 + OIDC.