OAuth

OAuth (Open Authorization) est un protocole standard ouvert qui permet à des applications tierces d'accéder aux données d'un utilisateur sur un autre service sans que l'utilisateur ait à transmettre son mot de passe. Au lieu de partager directement ses identifiants, l'utilisateur s'authentifie auprès du service d'origine (comme Google ou Stripe) et accorde à l'application demandeuse un jeton d'accès limité. Ce jeton précise exactement ce que l'application peut faire — lire une feuille de calcul précise, écrire dans un dossier particulier, traiter des paiements — et l'utilisateur peut le révoquer à tout moment. OAuth 2.0 est la version actuelle utilisée par pratiquement tous les grands services web, et il sous-tend les flux « Se connecter avec Google » et « Connecter ton compte » désormais standards sur le web.

Sans OAuth, connecter deux services nécessiterait de partager tes identifiants de connexion avec l'application tierce — un risque de sécurité sérieux qui donne à cette application un accès complet et illimité à ton compte. OAuth résout ce problème en créant un modèle de délégation contrôlée. L'application tierce ne reçoit que les permissions précises dont elle a besoin, et seulement aussi longtemps que tu l'autorises. Si l'application est compromise, les attaquants obtiennent un jeton limité plutôt que ton mot de passe. Pour les éditeurs numériques qui s'appuient sur plusieurs outils — plateformes de statistiques, services d'e-mailing, processeurs de paiement, intégrations de feuilles de calcul — OAuth est le mécanisme qui rend ces connexions sûres et gérables sans créer un enchevêtrement de mots de passe partagés.

FlipLink utilise une autorisation basée sur OAuth pour se connecter à des services tiers via la fonctionnalité [automatisation et intégrations](/features/automation-and-integrations). Quand tu configures l'[intégration Google Sheets](/integrations/google-sheets), par exemple, tu es redirigé vers l'écran de consentement de Google où tu autorises FlipLink à écrire des données de prospects dans une feuille de calcul précise. FlipLink reçoit un jeton d'accès à portée limitée — il peut écrire dans cette feuille de calcul mais ne peut pas lire ton e-mail, accéder à tes fichiers Drive ni effectuer la moindre action en dehors de la permission accordée. L'[intégration Stripe](/integrations/stripe) fonctionne de façon similaire : tu autorises FlipLink à traiter des paiements en ton nom via le flux OAuth de Stripe, et FlipLink ne stocke ni ne voit jamais ton mot de passe Stripe. Tous les jetons sont stockés de manière sécurisée et peuvent être révoqués depuis le tableau de bord FlipLink ou depuis les paramètres du service tiers.

OAuth 2.0 définit plusieurs types d'autorisation, chacun adapté à un scénario d'intégration différent : - **Octroi par code d'autorisation** : le flux le plus courant pour les applications côté serveur. L'utilisateur est redirigé vers le serveur d'autorisation (par exemple Google), accorde la permission et reçoit un code d'autorisation que l'application échange contre un jeton d'accès. C'est le flux que FlipLink utilise pour les intégrations Google Sheets et Stripe. - **Octroi par identifiants client** : utilisé pour la communication serveur à serveur lorsqu'aucune interaction utilisateur n'est nécessaire. L'application s'authentifie directement avec ses propres identifiants. - **Jetons de rafraîchissement** : les jetons d'accès ont par conception une courte durée de vie (généralement 1 heure). Un jeton de rafraîchissement permet à l'application de demander un nouveau jeton d'accès sans exiger une nouvelle autorisation de l'utilisateur. C'est pourquoi tes intégrations FlipLink continuent de fonctionner sans que tu aies besoin de te reconnecter chaque jour. Chaque jeton porte une portée définie — un ensemble de permissions qui limite ce que l'application peut faire. Un jeton dont la portée est « spreadsheets.write » ne peut pas lire les e-mails ni accéder à des fichiers en dehors de la feuille de calcul autorisée. Ce principe du moindre privilège est central dans le modèle de sécurité d'OAuth.

OAuth est sécurisé par conception, mais sa sûreté dépend d'une mise en œuvre correcte par toutes les parties concernées : - **Stockage des jetons** : les jetons d'accès et de rafraîchissement doivent être stockés de manière sécurisée côté serveur, jamais exposés dans du code côté client ni dans des URL. FlipLink stocke tous les jetons d'intégration chiffrés sur ses serveurs. - **Limitation de la portée** : les applications ne devraient demander que les permissions minimales nécessaires. FlipLink demande un accès en écriture à une feuille de calcul précise, pas un accès large à l'ensemble de ton compte Google. - **Révocation des jetons** : les utilisateurs devraient régulièrement vérifier quelles applications ont accès à leurs comptes. Google et Stripe fournissent tous deux des tableaux de bord où tu peux voir et révoquer les applications autorisées. - **Exigence HTTPS** : tous les flux OAuth doivent se dérouler en HTTPS pour empêcher l'interception du jeton pendant le processus d'autorisation. FlipLink impose le HTTPS pour toute communication API et tous les rappels d'intégration. - **Risque de hameçonnage** : les attaquants créent parfois de faux écrans d'autorisation qui imitent des services légitimes. Vérifie toujours que tu es bien sur le domaine du véritable service (accounts.google.com, pas goog1e-auth.com) avant d'accorder des permissions.

**Que se passe-t-il si je révoque un jeton OAuth ?** L'intégration cesse de fonctionner immédiatement. Par exemple, si tu révoques l'accès de FlipLink à ta feuille Google Sheets depuis les paramètres de ton compte Google, les nouveaux prospects ne se synchroniseront plus avec la feuille de calcul. Tu peux te reconnecter à tout moment en autorisant à nouveau depuis le tableau de bord FlipLink. **FlipLink stocke-t-il mon mot de passe Google ou Stripe ?** Non. OAuth est spécifiquement conçu pour éviter le partage de mots de passe. FlipLink ne reçoit qu'un jeton d'accès aux permissions limitées. Tes mots de passe restent exclusivement chez Google et Stripe. **Puis-je limiter ce à quoi FlipLink peut accéder dans mon compte Google ?** Oui. Pendant le flux d'autorisation OAuth, l'écran de consentement affiche exactement les permissions que FlipLink demande. FlipLink ne demande que la portée minimale nécessaire — généralement un accès en écriture à une seule feuille de calcul. Il ne peut pas accéder à ton e-mail, ton agenda ou tes autres services Google.