Foire aux questions

Connectez-vous à votre compte Octal Group, puis rendez-vous dans Administration → Applications OAuth. Cliquez sur "Créer une application", renseignez le nom et les URLs de redirection autorisées. Vous obtiendrez un client_id et un client_secret.

Oui. Pour créer et gérer des applications OAuth, vous devez disposer d'un compte Octal Group actif (format username@mail8g.com). La création de compte est gratuite sur account.groupeoctal.com.

Octal Group supporte le flux Authorization Code (recommandé pour toutes les applications), et Authorization Code avec PKCE (obligatoire pour les SPA et applications mobiles). Le flux implicite n'est pas supporté pour des raisons de sécurité.

Oui. Dès la création de votre application, elle est opérationnelle. Il n'y a pas de processus de validation manuel. Assurez-vous toutefois de n'utiliser que des redirect_uri HTTPS en production.

• openid — Authentification de base (obligatoire pour OpenID Connect)
• profile — Nom et avatar de l'utilisateur
• email — Adresse email @mail8g.com

Les access tokens ont une durée de vie de 24 heures. Pour un accès prolongé, implémentez le refresh token (inclus dans la réponse initiale) qui lui est valide pendant 30 jours. Appelez /oauth/token avec grant_type=refresh_token pour renouveler.

Appelez l'endpoint GET /api/user avec l'en-tête Authorization: Bearer {token}. Une réponse 200 confirme la validité. Une réponse 401 indique que le token est expiré ou révoqué.

1. Générez un code_verifier aléatoire (43–128 caractères, Base64URL sans padding).
2. Calculez le code_challenge = Base64URL(SHA256(code_verifier)).
3. Ajoutez code_challenge et code_challenge_method=S256 à l'URL d'autorisation.
4. Lors de l'échange du code, envoyez le code_verifier original. Consultez notre page d'exemples pour une implémentation complète.

Non. Créez une application distincte par environnement (développement, staging, production) avec des redirect_uri propres à chaque environnement. Cela évite les fuites d'access tokens entre environnements.

L'URL de redirection envoyée lors de la requête d'autorisation doit correspondre exactement (caractère par caractère, y compris le slash final) à l'une des URLs enregistrées dans votre application. Vérifiez les protocoles (http vs https), les ports et les chemins.

Causes les plus fréquentes : (1) Le token est expiré — rafraîchissez-le avec le refresh token. (2) L'en-tête Authorization est mal formaté — il doit être Bearer TOKEN avec un espace. (3) Le token a été révoqué par l'utilisateur depuis son tableau de bord.

Le code d'autorisation est à usage unique et expire après 10 minutes. Assurez-vous de l'échanger immédiatement après réception. Ne tentez pas de réutiliser un code déjà échangé.

Les appels directs à /oauth/token depuis le navigateur peuvent générer des erreurs CORS. Pour les SPA, effectuez l'échange de token côté serveur (backend proxy). Si vous avez absolument besoin d'appels côté client, contactez le support pour discuter des options disponibles.

Ne commitez jamais votre client_secret dans votre dépôt de code. Stockez-le dans des variables d'environnement (fichier .env exclu du versioning) ou un gestionnaire de secrets (Vault, AWS Secrets Manager, etc.). En production, injectez-le via les variables d'environnement de votre hébergeur.

Rendez-vous immédiatement dans Administration → Applications OAuth → Régénérer le secret. Tous les tokens existants resteront valides jusqu'à leur expiration, mais aucun nouvel échange de code ne pourra être effectué avec l'ancien secret. Mettez à jour votre configuration avec le nouveau secret.

Pour une déconnexion complète : (1) Supprimez la session locale de votre application. (2) Révoquez le refresh token via DELETE /api/user/sessions/{token_id}. (3) Optionnellement, redirigez l'utilisateur vers votre page de connexion. L'utilisateur peut également révoquer manuellement les accès depuis son tableau de bord Octal Group.

Oui. Si un utilisateur a activé la 2FA sur son compte Octal Group, il devra compléter cette étape lors du flux d'autorisation OAuth. Du côté de votre application, aucune modification n'est nécessaire — le flux est transparent. L'utilisateur est redirigé vers la vérification 2FA avant d'autoriser votre application.