Security & TrustRéservé aux abonnés 11/07/2026 à 17h195Ajouter aux favoris

Un thread HN populaire relance la question : comment doit-on authentifier une app en 2026 ? La réponse n'est plus « JWT + refresh token ». Tour d'horizon décanté.
En 2026, la « bonne » façon d'authentifier une application web dépend de deux questions : (1) êtes-vous une app B2C grand public, ou du SaaS B2B ? (2) êtes-vous prêts à opérer votre propre IdP, ou vous en remettez-vous à un provider ? Les patterns du milieu 2020s (JWT stateless + refresh dans localStorage) sont dépassés - pour de bonnes raisons.
Le fil HN reprend la discussion classique et arrive à une convergence intéressante : pour la plupart des applis, la pile pragmatique 2026 est :
Ce qui a changé, structurellement, c'est trois choses. Un : la fin de localStorage pour les tokens sensibles (XSS = compromission totale, il n'y a plus de débat). Deux : la maturité des passkeys - l'adoption grand public dépasse maintenant le seuil critique dans les principaux écosystèmes (Google, Apple, Microsoft ont tous déployé), même si aucun n'a publié de chiffre détaillé récent. Trois : les IdP hébergés (Clerk, WorkOS, Auth0) offrent maintenant une couverture SSO/SCIM/passkeys clé en main qu'aucune équipe de moins de 5 personnes n'a intérêt à réimplémenter.
Secure; HttpOnly; SameSite=Lax; __Host- prefix. Rotation à chaque escalade de privilège.Trois takeaways. Un : si vous démarrez en 2026, prenez un provider (Clerk, WorkOS, Stack Auth) sauf raison réglementaire précise. Le temps d'ingénierie économisé va au produit. Deux : si vous avez une pile JWT-in-localStorage héritée, planifiez la migration vers session cookie - c'est un travail de sécurité prioritaire, pas cosmétique. Trois : les passkeys sont prêtes ; à activer en option maintenant, et à imposer d'ici 2027 en enterprise. À surveiller : la standardisation des passkeys inter-plateformes (le vrai frein B2B).
Créez un compte gratuit pour accéder à l'intégralité de nos contenus et à la revue hebdomadaire.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
Les passkeys ont l'air bien, mais comment ils se défendent contre le phishing ? Un pirate pourrait-il intercepter la connexion ?
Les passkeys, c'est bien, mais comment ça gère plusieurs appareils ? Faut-il toujours avoir son téléphone sur soi ?
Est-ce que les passkeys fonctionneront hors ligne ? Une solution de secours sera-t-elle nécessaire ?
Les passkeys ont l'air bien, mais je me demande comment ils vont s'intégrer avec les anciens systèmes d'authentification ?
Est-ce que les passkeys peuvent vraiment tenir la route pour les très grosses applications ?
Les passkeys sont-ils vraiment fiables pour les très grosses applications ?