Comme tout sujet lié à la sécurité, les incontournables standards OAuth2, OpenID Connect et leurs recommandations évoluent rapidement. Ce qui était la norme hier est absolument interdit aujourd’hui. Pour mieux comprendre l’état d’OAuth2(.1)/OIDC en 2021, on partira de ses origines en expliquant les concepts, leurs contextes et les problèmes qu’ils résolvent. Pourquoi l’Implicit Flow est passé de recommandation pour les SPA à persona non-grata ? Qu’est-ce que résous PKCE ? Quel flow utiliser en fonction du type de client ? ou même quel stockage pour les tokens d’accès ? On fera donc le tour des dernières recommandations de l’IETF et d’OWASP et on en profitera aussi pour parler du futur avec GNAP. Il se pourrait que vous ayez des choses à faire en ressortant de cette conf ;).