https://video.ut0pia.org/videos/watch/9ad9dc0b-d71d-4b0f-88bc-929fd5239d08 Présentation par : Sam Bellen (Auth0) 📕 Abstract: OAuth 2.0 shipped in 2012 with glaring gaps. Public clients leaked secrets. Bearer tokens could be stolen and replayed. Authorization required users at their screens. Metadata lived in documentation, not discoverable endpoints. Token delegation meant copying credentials. Developers patched these with workarounds until the spec caught up. OAuth 2.1 consolidates best practices. PKCE becomes mandatory. DPoP adds cryptographic proof to bearer tokens, preventing replay attacks. CIBA decouples authorization from browser sessions. Client ID Metadata Documents and Authorization Server Metadata enable discovery over copy-paste configuration. Token Exchange enables delegation without credential copying—secrets never leave the authorization server. Cross-App Access extends this with identity assertion grants. Each solves a real problem; together, they modernize OAuth. This talk explores why these extensions exist and when to use them. Build systems secure by default, not by accident. Understand which specs matter for your use case—from traditional apps to AI agents to B2B integrations. We'll assume basic OAuth and OIDC knowledge but explain each new concept from scratch. 📕 Résumé : OAuth 2.0 a été lancé en 2012 avec des lacunes importantes. Les clients publics divulguaient des secrets. Les bearer tokens pouvaient être volés et rejeu. L'autorisation nécessitait des utilisateurs à leurs écrans. Les métadonnées vivaient dans la documentation, pas dans des endpoints découvrables. La délégation de tokens signifiait copier les credentials. Les développeurs ont contourné ces problèmes avec des solutions de fortune jusqu'à ce que la spécification se rattrape. OAuth 2.1 consolide les bonnes pratiques. PKCE devient obligatoire. DPoP ajoute une preuve cryptographique aux bearer tokens, prévenant les attaques par rejeu. CIBA découple l'autorisation des sessions navigateur. Les Client ID Metadata Documents et Authorization Server Metadata permettent la découverte sans configuration par copier-coller. Token Exchange permet la délégation sans copie de credentials—les secrets ne quittent jamais le serveur d'autorisation. Cross-App Access étend cela avec des grants d'assertion d'identité. Chacun résout un problème réel ; ensemble, ils modernisent OAuth. Cette présentation explore pourquoi ces extensions existent et quand les utiliser. Construisez des systèmes sécurisés par défaut, pas par accident. Comprenez quelles spécifications sont importantes pour votre cas d'usage—des applications traditionnelles aux agents AI aux intégrations B2B. Nous supposerons une connaissance basique d'OAuth et d'OIDC mais expliquerons chaque nouveau concept à partir de zéro. Enregistré en avril 2026 à Paris, Palais des Congrès, Porte Maillot. 🔥 Pour rester informé sur l'actualité de Devoxx France, suivez nous sur LinkedIn : https://www.linkedin.com/company/devoxx-france/ Bluesky : https://bsky.app/profile/devoxx.fr consultez notre site web https://www.devoxx.fr/ Thu, 14 May 2026 18:25:12 GMT https://validator.w3.org/feed/docs/rss2.html PeerTube - https://video.ut0pia.org https://video.ut0pia.org/lazy-static/avatars/0287a09a-aae7-4840-9843-b416426e7046.webp https://video.ut0pia.org/videos/watch/9ad9dc0b-d71d-4b0f-88bc-929fd5239d08 All rights reserved, unless otherwise specified in the terms specified at https://video.ut0pia.org/about and potential licenses granted by each content's rightholder.