跳转到主要内容

Déclaration de sécurité importante

Principe « la sécurité d’abord » : lors du développement et du déploiement d’applications tierces, la sécurité est la considération la plus importante. Vous devez suivre strictement les principes de sécurité ci-dessous pour garantir la sécurité des données utilisateurs et du processus d’autorisation.
  1. N’exposez jamais le client_secret dans du code JavaScript frontend
  2. L’échange entre code d’autorisation OAuth et token doit être géré côté serveur
  3. Tout accès aux ressources utilisateurs protégées doit passer par un proxy d’API backend
  4. Toutes les communications OAuth doivent être protégées par HTTPS
Toute violation des principes de sécurité ci-dessus peut entraîner de graves vulnérabilités de sécurité !

📋 Table des matières

  1. Vue d’ensemble
  2. Démarrage
  3. Flux d’autorisation OAuth2
  4. Référence de l’API
  5. SDK et exemples de code
  6. Bonnes pratiques de sécurité
  7. FAQ
  8. Support technique

Vue d’ensemble

Nous fournissons une API ouverte basée sur le standard OAuth2, permettant aux applications tierces d’accéder en toute sécurité aux informations de base et au solde du compte des utilisateurs. Grâce à notre service OAuth2, votre application peut :
  • 🚀 Connexion en un clic : les utilisateurs n’ont pas besoin de s’inscrire à nouveau, la connexion accorde automatiquement l’autorisation pour une expérience véritablement fluide
  • 👤 Obtenir des informations utilisateur : accéder au profil de base de l’utilisateur (nom d’utilisateur, e-mail, etc.)
  • 💰 Consulter le solde du compte : obtenir en temps réel le solde du compte de l’utilisateur
  • 🔄 Redirection vers le rechargement : guider les utilisateurs vers notre page de rechargement pour réapprovisionner le compte
  • 🔐 Rafraîchissement automatique des tokens : mécanisme intégré de refresh token pour un renouvellement de token transparent, améliorant l’expérience utilisateur

Démarrage

1. Enregistrer un compte développeur

Vous devez d’abord enregistrer un compte développeur dans notre système.

2. Créer une application OAuth

Créez votre application OAuth dans la console développeur :
API call example
Exemple de réponse :
Rappel de sécurité important :
  • Le client_id peut être utilisé côté frontend (information publique)
  • Le client_secret ne peut être utilisé que côté serveur et ne doit jamais être exposé au navigateur
  • Stockez le client_secret dans des variables d’environnement ; ne le codez pas en dur dans votre code

3. Configurer l’URI de redirection

Assurez-vous que votre URI de redirection répond aux exigences suivantes :
  • Utilise le protocole HTTPS (en production)
  • Pointe vers un endpoint de votre serveur (et non vers une page frontend)
  • Le domaine est enregistré et accessible
  • Le chemin est spécifique à l’endpoint API qui traite le callback

Flux d’autorisation OAuth2

Diagramme du flux sécurisé

Instructions pas à pas

Étape 1 : Guider l’utilisateur vers l’autorisation

Ajoutez un bouton de connexion sur votre page frontend. Lorsqu’il est cliqué, redirigez vers votre endpoint d’autorisation côté serveur :
Frontend code - only responsible for redirecting

Étape 2 : Gestionnaire d’autorisation côté serveur

Implémentez le gestionnaire d’autorisation sur votre serveur :
Server-side code

Étape 3 : Gérer le callback d’autorisation (côté serveur)

Server-side authorization callback handler

Étape 4 : Le frontend récupère les informations utilisateur

Frontend fetches user info via API proxy
Server-side API proxy

Référence de l’API

1. Endpoint d’autorisation

GET /api/oauth2/authorize Guide l’utilisateur à travers l’autorisation OAuth2. Paramètres : Exigences de sécurité :
  • redirect_uri doit correspondre exactement à l’adresse enregistrée
  • state doit être une chaîne aléatoire générée côté serveur
  • HTTPS doit être utilisé (en production)
Explication des scopes :
  • profile : accéder aux informations de base de l’utilisateur (nom d’utilisateur, e-mail)
  • balance : accéder au solde du compte de l’utilisateur

2. Endpoint Token

POST /api/oauth2/token
Avertissement de sécurité : cet endpoint ne doit être appelé que depuis le côté serveur, jamais depuis le frontend !
Utilisé dans deux scénarios :
  1. Échanger un code d’autorisation contre un access token
  2. Utiliser un refresh token pour obtenir un nouvel access token
Paramètres pour la concession « authorization code » : Paramètres pour la concession « refresh token » : Exemple de réponse :

3. Endpoint d’informations utilisateur

GET /api/oauth2/userinfo Obtenir les informations de base de l’utilisateur et le solde du compte. En-tête de requête :
header
Exemple de réponse :
response

SDK et exemples de code

SDK JavaScript

Nous fournissons un SDK JavaScript complet que vous pouvez utiliser directement :

Page de callback OAuth

Créez un fichier /oauth/callback.html :

Exemple backend Node.js

Pour une meilleure sécurité, il est recommandé de gérer le client_secret côté backend :

Bonnes pratiques de sécurité

1. Protection du Client Secret

  • ✅ Recommandé : stocker le client_secret sur le serveur backend
  • ❌ À éviter : exposer le client_secret dans du JavaScript frontend

2. Validation du paramètre State

3. Utilisation de HTTPS

  • Doit utiliser HTTPS en production
  • L’URI de callback doit utiliser HTTPS
  • Toutes les requêtes API utilisent HTTPS

4. Stockage sécurisé des tokens

5. Gestion des erreurs

FAQ

Q1 : Comment obtenir une véritable expérience de connexion en un clic ?

R : Il suffit d’ajouter le paramètre auto_authorize=true à l’URL d’autorisation. Après la connexion de l’utilisateur, l’autorisation sera accordée automatiquement, sans étape de confirmation supplémentaire :

Q2 : Les tokens se rafraîchissent-ils automatiquement ?

R : Oui, notre SDK intègre le rafraîchissement automatique des tokens :
  • Access token : valide 2 heures, rafraîchissement automatique 5 minutes avant expiration
  • Refresh token : valide 30 jours, utilisé pour obtenir de nouveaux access tokens
  • Rafraîchissement transparent : tous les appels API vérifient et rafraîchissent automatiquement les tokens expirés
  • Nouvelle tentative en cas d’échec : si l’API renvoie une erreur 401, le SDK tentera automatiquement de rafraîchir le token et de réessayer
Ce n’est que si le refresh token expire également que l’utilisateur devra se reconnecter.

Q3 : Quelles informations utilisateur puis-je obtenir ?

R : Selon le scope autorisé, vous pouvez obtenir :
  • Scope profile : nom d’utilisateur, e-mail
  • Scope balance : informations sur le solde du compte

Q4 : Comment tester l’intégration OAuth ?

R :
  1. Utilisez HTTP localhost en développement pour les tests
  2. Utilisez nos outils de test fournis pour vérifier le flux d’autorisation
  3. Vérifiez les requêtes réseau dans les outils de développement du navigateur

Q5 : Quels langages de programmation sont pris en charge ?

R : Notre API OAuth2 est standard et prend en charge tous les principaux langages de programmation :
  • JavaScript/Node.js
  • Python
  • PHP
  • Java
  • C#/.NET
  • Go
  • Ruby

Q6 : Comment un utilisateur peut-il révoquer une autorisation ?

R : Les utilisateurs peuvent révoquer l’autorisation d’une application tierce dans la page Centre utilisateur > Gestion des autorisations.

Dernière mise à jour : 2026-06-01