{"id":117,"date":"2026-06-13T16:24:23","date_gmt":"2026-06-13T16:24:23","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/13\/oauth2-openid-connect-nodejs\/"},"modified":"2026-06-13T16:25:45","modified_gmt":"2026-06-13T16:25:45","slug":"oauth2-openid-connect-nodejs","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/13\/oauth2-openid-connect-nodejs\/","title":{"rendered":"OAuth2 en Node.js : flux s\u00e9curis\u00e9 en 12 \u00e9tapes [2026]"},"content":{"rendered":"\n

Un identifiant vol\u00e9 reste la porte d’entr\u00e9e num\u00e9ro un des attaquants. En 2026, d\u00e9l\u00e9guer l’authentification \u00e0 un fournisseur d’identit\u00e9 via OAuth2<\/strong> et OpenID Connect<\/strong> n’est plus une option avanc\u00e9e, c’est la base d’une application web s\u00e9rieuse. Ce tutoriel vous guide pas \u00e0 pas pour construire, en Node.js, un flux d’authentification complet, conforme \u00e0 OAuth 2.1, avec PKCE, v\u00e9rification d’ID token<\/strong>, sessions chiffr\u00e9es et rotation des refresh tokens<\/strong>.<\/p>\n\n\n\n

Vous repartirez avec un projet fonctionnel : un serveur Express qui redirige l’utilisateur vers un fournisseur OIDC, \u00e9change le code d’autorisation contre des jetons, s\u00e9curise la session par cookie et d\u00e9tecte le vol de refresh token. Comptez environ 45 minutes pour suivre les 12 \u00e9tapes. Le code utilise openid-client<\/code> 6.8.4, la biblioth\u00e8que de r\u00e9f\u00e9rence maintenue par Filip Skokan, et jose<\/code> 6.2.3 pour la cryptographie des jetons.<\/p>\n\n\n\n

OAuth2 et OpenID Connect : comprendre la diff\u00e9rence avant de coder<\/h2>\n\n\n\n

La confusion entre OAuth2<\/strong> et OpenID Connect<\/strong> provoque la majorit\u00e9 des failles d’authentification. Les deux protocoles cohabitent dans le m\u00eame flux, mais ils r\u00e9pondent \u00e0 deux questions distinctes. OAuth2 (d\u00e9fini par la RFC 6749) est un cadre d’autorisation<\/em>. Il r\u00e9pond \u00e0 : \u00ab cette application a-t-elle le droit d’acc\u00e9der \u00e0 cette ressource ? \u00bb. Son livrable est l’access token<\/strong>, un jeton que le client pr\u00e9sente \u00e0 une API pour obtenir des donn\u00e9es.<\/p>\n\n\n\n

OpenID Connect (OIDC) est une couche d’identit\u00e9<\/em> pos\u00e9e sur OAuth2. Il r\u00e9pond \u00e0 : \u00ab qui est cet utilisateur ? \u00bb. Son livrable est l’ID token<\/strong>, un JWT sign\u00e9 qui prouve l’identit\u00e9 du visiteur et contient des \u00ab claims \u00bb (sujet, email, nom, date d’\u00e9mission). Utiliser un access token pour authentifier un utilisateur est une erreur classique : l’access token est destin\u00e9 \u00e0 une API, pas \u00e0 votre application. Il n’est pas con\u00e7u pour \u00eatre valid\u00e9 c\u00f4t\u00e9 client, et plusieurs failles document\u00e9es d\u00e9coulent de cette confusion.<\/p>\n\n\n\n

Concr\u00e8tement, dans le flux que nous construisons, le fournisseur d’identit\u00e9 (Auth0, Keycloak, Google, Microsoft Entra ID) nous renvoie trois jetons : un ID token pour savoir qui se connecte, un access token pour appeler des API, et un refresh token pour renouveler la session sans redemander le mot de passe. Notre application valide l’ID token, cr\u00e9e une session locale, et conserve le refresh token de fa\u00e7on s\u00e9curis\u00e9e. Si vous avez d\u00e9j\u00e0 suivi notre tutoriel sur l’authentification JWT en Node.js<\/a>, vous reconna\u00eetrez la structure des jetons : OIDC standardise simplement leur \u00e9mission par un tiers de confiance.<\/p>\n\n\n\n

Pourquoi OAuth 2.1 red\u00e9finit les bonnes pratiques en 2026<\/h2>\n\n\n\n

OAuth 2.1 ne r\u00e9invente rien. Il consolide quinze ans de correctifs de s\u00e9curit\u00e9 \u00e9pars en une sp\u00e9cification unique, et il rend obligatoires des mesures qui \u00e9taient jusqu’ici recommand\u00e9es. Trois changements structurent toute impl\u00e9mentation moderne et conditionnent le code de ce tutoriel.<\/p>\n\n\n\n

Premi\u00e8rement, PKCE<\/strong> (Proof Key for Code Exchange, RFC 7636) devient obligatoire pour le flux Authorization Code, pour tous les clients, y compris les clients confidentiels c\u00f4t\u00e9 serveur. PKCE emp\u00eache l’interception du code d’autorisation : m\u00eame si un attaquant capture le code, il ne peut pas l’\u00e9changer sans le \u00ab code verifier \u00bb secret g\u00e9n\u00e9r\u00e9 par le client l\u00e9gitime.<\/p>\n\n\n\n

Deuxi\u00e8mement, le grant implicite<\/strong> (qui renvoyait l’access token directement dans l’URL) est supprim\u00e9, tout comme le grant \u00ab Resource Owner Password Credentials \u00bb. Ces deux flux exposaient les jetons dans l’historique du navigateur ou demandaient \u00e0 l’application de manipuler le mot de passe de l’utilisateur. D\u00e9sormais, seul le flux Authorization Code avec PKCE est recommand\u00e9 pour les applications web.<\/p>\n\n\n\n

Troisi\u00e8mement, la rotation des refresh tokens devient la norme pour les clients publics. La RFC 9700 (Best Current Practice for OAuth 2.0 Security, publi\u00e9e par l’IETF) formalise la d\u00e9tection de r\u00e9utilisation<\/strong> : si un ancien refresh token r\u00e9appara\u00eet apr\u00e8s rotation, le serveur r\u00e9voque toute la \u00ab famille \u00bb de jetons. C’est exactement ce que nous impl\u00e9menterons aux \u00e9tapes 9 et 10. Le contexte europ\u00e9en renforce cette exigence : la directive NIS2, d\u00e9sormais en vigueur, \u00e9tend les obligations de s\u00e9curit\u00e9 \u00e0 entre 15 000 et 18 000 organisations en France selon la transposition nationale, et l’authentification r\u00e9sistante au hame\u00e7onnage figure au c\u0153ur des recommandations de l’ANSSI et de l’ENISA.<\/p>\n\n\n\n

Pr\u00e9requis et versions logicielles<\/h2>\n\n\n\n

Avant de commencer, v\u00e9rifiez que votre environnement correspond aux versions ci-dessous. La biblioth\u00e8que openid-client<\/code> a connu une r\u00e9\u00e9criture majeure en version 6 : elle est d\u00e9sormais \u00ab ESM-first \u00bb et s’appuie sur les standards web (Fetch, WebCrypto). Le code de ce tutoriel ne fonctionne pas avec les anciennes versions 5.x dont l’API diff\u00e8re totalement.<\/p>\n\n\n\n

Composant<\/th>Version utilis\u00e9e<\/th>R\u00f4le dans le projet<\/th><\/tr><\/thead>
Node.js<\/td>24.x LTS (Krypton)<\/td>Runtime, support jusqu’en avril 2028<\/td><\/tr>
Express<\/td>5.2.1<\/td>Serveur HTTP et routage<\/td><\/tr>
openid-client<\/td>6.8.4<\/td>D\u00e9couverte OIDC, PKCE, \u00e9change de jetons<\/td><\/tr>
jose<\/td>6.2.3<\/td>V\u00e9rification de signature JWT\/ID token<\/td><\/tr>
cookie-session<\/td>2.1.1<\/td>Session chiffr\u00e9e c\u00f4t\u00e9 cookie<\/td><\/tr>
dotenv<\/td>latest<\/td>Chargement des variables d’environnement<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

C\u00f4t\u00e9 connaissances, vous devez \u00eatre \u00e0 l’aise avec JavaScript asynchrone (async\/await), les modules ES (import<\/code>\/export<\/code>) et les bases de HTTP. Il vous faut aussi un compte chez un fournisseur OIDC. Ce tutoriel utilise une configuration g\u00e9n\u00e9rique compatible avec Auth0, Keycloak, Okta ou Microsoft Entra ID. Enfin, ex\u00e9cutez tout en HTTPS d\u00e8s que possible : sans TLS, les cookies de session et les jetons circulent en clair. Notre guide pour obtenir un certificat SSL gratuit avec Certbot<\/a> couvre cette mise en place, et notre explication sur HTTPS et TLS<\/a> d\u00e9taille pourquoi ce socle est non n\u00e9gociable.<\/p>\n\n\n\n

\u00c9tape 1 : initialiser le projet Node.js<\/h2>\n\n\n\n

Cr\u00e9ez un r\u00e9pertoire et initialisez le projet. Le point essentiel : d\u00e9clarez \"type\": \"module\"<\/code> dans le package.json<\/code>, car openid-client<\/code> 6 est distribu\u00e9 exclusivement en modules ES. Sans cette ligne, les import<\/code> \u00e9choueront avec une erreur ERR_REQUIRE_ESM<\/code>.<\/p>\n\n\n\n

mkdir oauth2-oidc-nodejs && cd oauth2-oidc-nodejs\nnpm init -y\nnpm install express@5.2.1 openid-client@6.8.4 jose@6.2.3 cookie-session@2.1.1 dotenv\n\n# Activer les modules ES\nnpm pkg set type=\"module\"\nnpm pkg set engines.node=\">=24.0.0\"<\/code><\/pre>\n\n\n\n
Cr\u00e9ez ensuite un fichier .env<\/code> \u00e0 la racine. Ne le versionnez jamais : ajoutez-le imm\u00e9diatement \u00e0 votre .gitignore<\/code>. Les valeurs proviennent de la console de votre fournisseur d’identit\u00e9, dans la section \u00ab Applications \u00bb o\u00f9 vous enregistrez un client web.<\/p>\n\n\n\n
# .env\nOIDC_ISSUER=https:\/\/votre-tenant.eu.auth0.com\nOIDC_CLIENT_ID=AbCdEf123456\nOIDC_CLIENT_SECRET=votre_secret_client\nOIDC_REDIRECT_URI=https:\/\/localhost:3000\/callback\nSESSION_KEY=une_cle_aleatoire_de_32_octets_minimum\nPORT=3000<\/code><\/pre>\n\n\n\n
G\u00e9n\u00e9rez la SESSION_KEY<\/code> avec une vraie source d’entropie, jamais une cha\u00eene devin\u00e9e. La commande node -e \"console.log(require('crypto').randomBytes(32).toString('hex'))\"<\/code> produit une cl\u00e9 de 32 octets adapt\u00e9e au chiffrement des cookies de session.<\/p>\n\n\n\n
\u00c9tape 2 : enregistrer l’application chez le fournisseur d’identit\u00e9<\/h2>\n\n\n\n
Dans la console de votre fournisseur OIDC, cr\u00e9ez une application de type \u00ab Regular Web Application \u00bb (client confidentiel). Trois r\u00e9glages sont critiques et causent la plupart des erreurs de d\u00e9butant.<\/p>\n\n\n\n