OAuth 2.1 est un protocole d’autorisation déléguée : il permet à une application d’accéder, au nom d’un utilisateur, à des ressources hébergées par un autre service, sans jamais lui communiquer le mot de passe de cet utilisateur. À la place, le service de ressources délivre un jeton d’accès (access token) à durée de vie limitée et au périmètre restreint, que l’application présente à chaque requête.
OAuth 2.1 est une consolidation d’OAuth 2.0 : il rassemble les bonnes pratiques de sécurité accumulées depuis 2012 et en rend certaines obligatoires. Parmi elles figurent l’usage systématique de PKCE (Proof Key for Code Exchange) pour le flux authorization code, l’abandon des flux jugés peu sûrs (flux implicite et flux mot de passe), ainsi que des règles strictes sur la correspondance exacte des URL de redirection.
Le mécanisme repose sur des scopes (périmètres d’autorisation) qui limitent précisément ce que le jeton autorise, et sur des jetons de rafraîchissement (refresh tokens) qui renouvellent l’accès sans réauthentification de l’utilisateur. C’est le standard qui sécurise les boutons « Se connecter avec… » et, plus largement, l’accès des applications tierces aux API REST.
eyeot implémente OAuth 2.1 avec PKCE pour authentifier les agents et les applications qui interagissent avec son interface IA (MCP), en complément de la gestion des identités assurée par SCIM. Cette approche garantit qu’un accès délégué reste révocable et cantonné aux seules opérations explicitement autorisées.