Qu'est-ce que OAuth ?

OAuth résout un problème concret : comment accorder à une application l'accès à tes données sur un autre service sans lui donner ton mot de passe ? Avant OAuth, la réponse consistait souvent à partager directement les identifiants — une pratique qui accordait un accès illimité sans possibilité de révocation sélective. OAuth introduit la notion d'autorisation déléguée via des jetons d'accès à portée et à durée limitées.

Le déroulement d'OAuth 2.0 met en jeu quatre parties : le propriétaire de la ressource (l'utilisateur), le client (l'application tierce), le serveur d'autorisation (qui émet les jetons) et le serveur de ressources (qui héberge les données de l'utilisateur). L'utilisateur s'authentifie auprès du serveur d'autorisation, accorde au client des permissions précises, et le client reçoit un jeton d'accès. Ce jeton sert à accéder aux ressources de l'utilisateur sans que le client ne voie jamais son mot de passe.

OAuth 2.0 définit plusieurs types d'octroi pour différents scénarios : le flux par code d'autorisation (pour les applications côté serveur), le flux par code d'autorisation avec PKCE (pour les clients publics comme les applications mobiles et monopages), les Client Credentials (pour la communication de machine à machine) et le Device Code Flow (pour les appareils à saisie limitée). Le cadre s'étend avec OpenID Connect (OIDC), qui ajoute une couche d'identité normalisée pour l'authentification, fondée sur les capacités d'autorisation d'OAuth.

Comment Vaulted utilise OAuth

Vaulted n'implémente pas OAuth, car il n'a ni comptes d'utilisateur, ni intégrations tierces, ni besoin d'autorisation déléguée. Les jetons OAuth sont toutefois un type courant d'identifiants sensibles qu'il faut partager en toute sécurité — par exemple le secret client d'un compte de service avec une équipe de déploiement. Vaulted offre un canal sécurisé pour transmettre de tels jetons sans les exposer dans des messages Slack, des e-mails ou des systèmes de tickets, où ils persisteraient indéfiniment.