OpenID Connect (OIDC) est une couche d'authentification construite au-dessus d'OAuth 2.0. Là où OAuth répond à « quels droits ? », OIDC répond à « qui est l'utilisateur ? ». C'est le protocole moderne de référence pour le SSO web et mobile.
Son apport principal est l'ID Token : un JWT signé contenant l'identité de l'utilisateur (les claims : sub, email, name…). L'application le vérifie pour ouvrir une session de confiance.
| Concept OAuth 2.0 | Ajout d'OpenID Connect |
|---|---|
| access_token (accès API) | id_token (identité de l'utilisateur) |
| scopes génériques | scope openid obligatoire |
| — | endpoint /userinfo |
| — | document de découverte .well-known |
Exemple de claims décodés depuis un ID Token :
{
"iss": "https://login.microsoftonline.com/{tenant}/v2.0",
"sub": "248289761001",
"email": "jean.dupont@loud.fr",
"name": "Jean Dupont",
"exp": 1735689600
}
À retenir
OIDC = OAuth 2.0 + identité. Des fournisseurs comme Microsoft Entra ID, Google ou Auth0 l'implémentent. Face à SAML, OIDC est plus léger (JSON/REST contre XML) et mieux adapté aux applications mobiles et aux API — d'où son adoption massive pour les nouveaux projets.
