OAuth 2.0 & PKCE : authentification sécurisée pour vos applications
Découvrez le protocole OAuth 2.0 avec PKCE, le standard de sécurité pour connecter des applications tierces à vos services. Hou.la supporte OAuth nativement.
Qu'est-ce que OAuth 2.0 ?
OAuth 2.0 est un protocole d'autorisation standard qui permet à une application tierce d'accéder aux ressources d'un utilisateur sur un autre service, sans jamais partager le mot de passe. C'est le mécanisme utilisé par Google, Facebook, GitHub et des milliers d'autres services.
Au lieu de transmettre des identifiants, OAuth utilise un système de jetons (tokens) avec des permissions (scopes) limitées. L'utilisateur donne son consentement explicite, et l'application reçoit un jeton d'accès temporaire.
Comment fonctionne le flux OAuth ?
Demande d'autorisation
L'application tierce redirige l'utilisateur vers la page de consentement du fournisseur (ex: Hou.la) avec un code_challenge PKCE.
Consentement utilisateur
L'utilisateur voit les permissions demandées et accepte ou refuse l'accès à ses données.
Code d'autorisation
Le fournisseur redirige l'utilisateur vers l'application avec un code d'autorisation temporaire.
Échange du code
L'application échange le code d'autorisation contre un jeton d'accès (access_token) et un jeton de rafraîchissement (refresh_token) en présentant le code_verifier PKCE.
PKCE : la couche de sécurité supplémentaire
PKCE (Proof Key for Code Exchange) est une extension de sécurité d'OAuth 2.0 conçue pour protéger le flux d'autorisation contre les attaques par interception. Le client génère un code_verifier aléatoire, en dérive un code_challenge (via SHA-256), et prouve sa légitimité lors de l'échange du code.
PKCE est obligatoire pour les applications publiques (mobiles, SPA, extensions) et fortement recommandé pour tous les clients OAuth. Hou.la impose PKCE S256 pour garantir la sécurité maximale.
Protection contre l'interception
Même si un attaquant intercepte le code d'autorisation, il ne peut pas l'échanger sans le code_verifier original.
Pas de secret client requis
PKCE élimine le besoin d'un client_secret côté client, ce qui le rend idéal pour les applications mobiles et les extensions.
Compatible mobile & extension
Conçu spécifiquement pour les clients publics : applications mobiles, extensions navigateur, applications SPA.
Standard RFC 7636
PKCE est une spécification officielle de l'IETF (RFC 7636), adoptée par les plus grands fournisseurs : Google, Microsoft, Apple.
Hou.la Auth : OAuth pour vos applications
Hou.la implémente OAuth 2.0 avec PKCE S256 pour permettre à vos applications et plugins de se connecter de manière sécurisée. Comme Google Auth ou GitHub Auth, vous pouvez utiliser Hou.la comme fournisseur d'authentification pour vos intégrations.
Que vous développiez un plugin WordPress, une extension Chrome ou une application SaaS, l'authentification via Hou.la permet à vos utilisateurs de connecter leurs comptes en toute sécurité sans partager leurs identifiants.
Plugins CMS (WordPress, Shopify)
Connectez votre plugin à Hou.la pour créer des liens courts automatiquement depuis votre CMS. Les utilisateurs autorisent l'accès en un clic.
Applications SaaS & Intégrations
Intégrez la création de liens courts et le suivi de clics directement dans votre application métier via l'API OAuth.
E-commerce & WooCommerce
Générez automatiquement des liens courts pour vos produits, suivez les conversions et synchronisez votre catalogue via les scopes dédiés.
Prêt à intégrer Hou.la dans votre application ?
Consultez la documentation OAuth pour commencer l'intégration en quelques minutes.