JWT dans localStorage ?

Risque XSS élevé ; préférer cookies httpOnly ou patterns avec refresh court ; évaluer menaces applicatives.

Durées conservation logs connexion ; notification utilisateur sur nouveaux appareils ; droit effacement compte.

Chemins login critiques pour première interaction ; éviter chaînes synchrones lourdes avant dashboard.

Qu'est-ce que Authentification (web & apps) ?

C'est comme montrer une pièce d’identité à l’entrée : le videur vérifie que vous êtes bien la personne annoncée, pas encore si vous avez accès au salon VIP. L’authentification établit l’identité des utilisateurs et administrateurs — socle avant autorisation, journalisation et conformité.

Comment ça marche ?

Identité ; facteurs ; session ; jetons ; révocation ; intégration fournisseurs (OAuth). Dans une architecture moderne, elle dialogue avec API et WebSockets sécurisés.

L'Impact Business

Confiance client et conformité ; incidents d’identité sont coûteux en réputation et support.

Bonnes pratiques vs Erreurs communes

✅ À faire : MFA progressif ; bonnes primitives crypto ; surveillance ; UX claire sur erreurs sans fuites.
❌ À éviter : Secrets hardcodés. Logs contenant mots de passe. Sessions éternelles sans justification.

Prompt IA

Contexte : refonte login [app SaaS]. Compare trois méthodes (email+mot de passe, magic link, SSO OAuth) sur UX, sécu et ops ; deux critères pour choisir MFA obligatoire vs optionnelle.