Toutes les façons de se connecter
Mot de passe, sans mot de passe, social, clé d'accès, lien magique, phrase de récupération. Vos utilisateurs choisissent la méthode qui leur inspire confiance — vous obtenez une session unifiée.
E-mail + mot de passe
Hachage Argon2id, évaluation de robustesse zxcvbn, vérification de fuite HaveIBeenPwned, historique des mots de passe configurable.
Clés d'accès / WebAuthn
Clés matérielles FIDO2 et authentificateurs biométriques avec attestation directe et remplissage automatique Conditional UI.
Liens magiques
Connexion par e-mail sans mot de passe en un clic. TTL configurable, limite de débit par e-mail, inscription facultative pour les nouveaux utilisateurs.
OAuth social (PKCE)
Google, GitHub, Apple avec PKCE S256. 2FA imposée à chaque connexion fédérée ultérieure.
Phrase de récupération
Phrase mnémonique BIP-39 (12 ou 24 mots) avec phrase de passe facultative. Résistante au quantique avec une entropie de 256 bits.
Flux par appareil (RFC 8628)
Connectez-vous sur les téléviseurs, les outils en ligne de commande et les appareils IoT avec un court code lisible.
Défense en profondeur
Superposez des seconds facteurs à toute méthode principale. Obligatoire pour la connexion fédérée, facultative partout ailleurs, configurable par politique.
TOTP
Google Authenticator, Authy et toute application RFC 6238.
OTP par e-mail
Code à 6 chiffres vers un e-mail vérifié, TTL de 10 minutes.
OTP par SMS
Via Twilio Verify ou en mode message direct.
Codes de secours
8 codes à usage unique au format XXXX-XXXX, hachés en SHA-256.
Post-quantique, confidentialité avant tout
Conçu pour l'ère quantique. Chaque session, jeton et secret est protégé par des algorithmes qui résistent aux attaques classiques comme quantiques.
Sessions ML-DSA-44
Signatures numériques post-quantiques sur chaque session. Vérifiées à la reprise ; les sessions dont la falsification est détectée sont révoquées instantanément.
AES-256-GCM au repos
Secrets TOTP, jetons OAuth, clés PQC, mots de passe LDAP — tous chiffrés en AES-256-GCM avant stockage.
Confidentialité par paire
Chaque application reçoit un identifiant utilisateur unique et propre à elle. Les applications ne peuvent pas corréler les utilisateurs entre services.
Détection adaptative des menaces
Évaluation des risques par ML : nouvelle IP, nouvel appareil, horaires inhabituels, détection de rafales. Renforcement ou blocage automatique.
Accès conditionnel
Liste d'autorisation/de blocage d'IP, géoblocage, CAPTCHA après N échecs, politiques d'accès au niveau de l'organisation.
Rotation des jetons
Rotation des jetons de rafraîchissement avec détection de rejeu basée sur la famille. Preuve de possession DPoP (RFC 9449).
Fédération conforme aux standards
Serveur d'autorisation OAuth 2.0 complet, fournisseur OpenID Connect, IdP SAML 2.0 et provisionnement SCIM 2.0. Pas seulement compatible — conforme.
OAuth 2.0 / OIDC
Code d'autorisation + PKCE, client credentials, flux par appareil, échange de jetons (RFC 8693), PAR (RFC 9126).
IdP SAML 2.0
SSO, SLO, assertions signées, mappage d'attributs, NameID par paire, protection contre les bombes de compression.
SCIM 2.0
Provisionnement des utilisateurs et des groupes. Opérations groupées, requêtes de filtrage, prise en charge de PATCH, jetons à portée d'organisation.
Enregistrement dynamique des clients
RFC 7591 avec limitation de débit et liste blanche de portées. Politique authentifiée, administrateur ou ouverte.
Déconnexion par canal arrière
Jetons de déconnexion RS256 vers chaque RP. La déconnexion par iframe en canal frontal est également prise en charge.
Claims personnalisés
Mappages de claims par client : valeurs statiques, champs utilisateur, rôles. Résolus à l'émission du jeton.
Tout depuis un seul panneau
Tableau de bord d'administration complet, console développeur, webhooks, piste d'audit, analyses et opérations groupées. Livrez plus vite, déboguez plus facilement.
Analyses en temps réel
DAU/WAU/MAU, tendances de connexion, adoption de la 2FA, répartition des méthodes d'authentification, taux d'échecs de connexion.
Audit inviolable
Événements d'audit chaînés par hachage avec liaison à l'acteur. Chaque action d'administration est journalisée ; l'intégrité est vérifiable.
Webhooks
Charges utiles signées en HMAC-SHA256 pour user.created, login, logout, changement de mot de passe et consentement OAuth.
Organisations
Isolation multi-tenant, rôles de membre (propriétaire/administrateur/membre), intégration par invitation.
Usurpation d'identité
L'administrateur peut usurper l'identité d'utilisateurs pour le support — liée à la session, journalisée et révoquée automatiquement à la déconnexion.
SDK
SDK JavaScript/TypeScript et React avec PKCE, cycle de vie des jetons, erreurs typées et déconnexion.