Authentification
AM gère la vérification des identifiants, le hachage des mots de passe et les magic links pour vous laisser vous concentrer sur la logique applicative.
Choisissez les méthodes adaptées : mots de passe pour l’entreprise ou magic links pour des apps grand public.
Méthodes
Email + Mot de passe
Identifiants hachés avec PBKDF2. Les utilisateurs s’inscrivent avec email/mot de passe puis s’authentifient avec les mêmes.
User ──▶ Email + Password ──▶ PBKDF2 Verify ──▶ Issue TokensMagic Links
Authentification sans mot de passe via lien à usage unique. Les utilisateurs cliquent pour s’authentifier.
Réinitialisation de mot de passe
- L’utilisateur demande un reset via
/auth/send-password-reset - Un token limité est envoyé par email
- L’utilisateur définit un nouveau mot de passe via
/auth/reset-password
Durée des tokens
| Token | Par défaut | Usage |
|---|---|---|
| Access Token | 1 heure | Autorisation API |
| Refresh Token | 14 jours | Nouveaux access tokens |
| CSRF Token | Session | Protection CSRF |
Durées configurables par client.
Sécurité
- PBKDF2: stockage standard
- Rate limiting: anti brute-force
- CSRF: requis pour mutations
- Cookies sécurisés: HttpOnly, Secure, SameSite
Liens associés
- Auth - Endpoints auth
- OAuth - Flux OAuth2/OIDC
- Utilisateur - Ressource utilisateur