OAuth 2.1 et OpenID Connect (OIDC) sécurisent les APIs et les SPAs : autorisation déléguée, authentification et identité. PKCE obligatoire, rotation des refresh tokens et bonnes pratiques pour 2025.
OAuth 2.1 supprime les flux jugés risqués (password, implicit) et impose le PKCE pour les clients publics. OIDC ajoute l'identité (id_token, userinfo) au-dessus d'OAuth. Les fournisseurs (Auth0, Keycloak, Okta) supportent ces standards. Pour les équipes qui exposent des APIs ou des SPAs, OAuth 2.1 + OIDC évitent les failles classiques (token leakage, CSRF). La doc OAuth.net et les implémentations (Keycloak, Auth0) sont à jour.
Conseil : utiliser des librairies vérifiées (oauth2, openid-client) et ne jamais stocker de secrets dans le client.
Points forts / Points faibles
Points forts
- Standards reconnus, interopérables
- PKCE et refresh rotation pour la sécurité
- OIDC = identité + autorisation
- Auth0, Keycloak, Okta compatibles
Points faibles
- Complexité de mise en œuvre et de debug
- Dépendance à un fournisseur ou à une implémentation maison
- Gestion des scopes et des consentements à cadrer