Dans l’interface d’inscription, renseignez les champs demandés (email, mot de passe, langue, acceptation des conditions). Vous pouvez aussi démarrer via OAuth (GitHub/GitLab) si proposé.

Soumettre le formulaire. Le système vérifie l’unicité de l’email et la conformité du mot de passe (longueur minimale, complexité si requise).

Après validation, le compte est créé. L’utilisateur voit une page de confirmation et une redirection possible vers le tableau de bord.

Si une offre de bienvenue est activée, des crédits peuvent être ajoutés automatiquement au compte. L’utilisateur est informé via l’interface (ex. “50 crédits bonus”).

Si un e‑mail de vérification est envoyé, suivre les instructions pour valider l’adresse. Ce n’est pas toujours bloquant pour l’accès initial, mais recommandé pour la sécurité.

Sur la page de connexion, sélectionner email/password ou un bouton OAuth (GitHub/GitLab).

Entrer email et mot de passe, puis valider. Si les identifiants sont corrects, le serveur crée une session et l’utilisateur est redirigé vers son tableau de bord.

Cliquer sur le bouton OAuth, autoriser l’accès sur la plateforme externe. Après autorisation, l’utilisateur est redirigé et, si nécessaire, un compte est créé automatiquement ou mis à jour. Des crédits de bienvenue peuvent être attribués.

La session est matérialisée côté navigateur par un cookie sécurisé (HttpOnly, Secure, SameSite) ; les informations sensibles ne sont pas exposées au JavaScript client.

La session a une durée limitée. À l’expiration, l’utilisateur doit se reconnecter ou suivre un mécanisme de renouvellement selon la politique du produit.

Chaque appareil peut avoir sa propre session. Pour forcer la déconnexion globale, l’administrateur ou l’utilisateur peut révoquer les sessions actives (si la fonctionnalité est proposée).

L’utilisateur clique sur “Mot de passe oublié”, entre son email, puis soumet la demande.

Un message contenant des instructions (et un lien à usage unique et limité dans le temps) est envoyé à l’adresse fournie.

L’utilisateur clique sur le lien. Le système vérifie que le lien est toujours valide (non expiré, non utilisé).

Saisir et confirmer le nouveau mot de passe. Après validation, la session peut être réinitialisée : l’utilisateur est connecté automatiquement ou invité à se reconnecter selon la politique.

Recommander à l’utilisateur de vérifier les sessions actives et, si nécessaire, de révoquer les sessions ou tokens qui pourraient être compromis.

L’utilisateur autorise l’application GitHub (ou effectue un login GitHub classique). L’application obtient les informations publiques nécessaires.

Le serveur vérifie si l’utilisateur existe déjà (par identifiant GitHub ou email). Si non, un compte est créé et des crédits de bienvenue peuvent être attribués.

Si l’utilisateur possède un mot de passe local et que l’usage le requiert, le serveur peut générer un jeton JWT signé, à usage unique et à très courte durée (par ex. quelques minutes). Ce jeton sert uniquement à valider une liaison ou à initier une session.

Le client envoie ce jeton au serveur pour obtenir une session authentifiée. Le serveur vérifie la signature du JWT, s’assure que le token n’est pas expiré et crée la session utilisateur.

Le JWT d’initialisation doit expirer rapidement (p. ex. 5 minutes) et être strictement limité à l’usage prévu (login unique). Il ne doit pas servir comme token d’accès long terme.

Pour les repos connectés via une installation GitHub App, vérifier le statut de l’installation et utiliser des tokens d’installation distincts propres à l’installation pour accéder aux ressources GitHub.

Chaque action sensible côté serveur doit vérifier à nouveau la session/permissions (cf. section “protection des projets”) avant d’effectuer des opérations sur un projet ou un dépôt.

Vérifier la session (cookie) ou un token d’API valide. Prioriser les clés API pour les appels machine, les sessions pour les utilisateurs interactifs.

S’assurer que l’utilisateur est membre du projet et possède le rôle approprié (lecture, écriture, admin) avant d’autoriser l’action demandée.

Pour des actions liées à GitHub App, vérifier que l’installation est bien liée au projet et que le token d’installation est valide et non expiré.

Toujours vérifier la date d’expiration des tokens et refuser les tokens expirés ou révoqués. Prévoir un mécanisme pour ré-authentifier l’utilisateur si nécessaire.

Loggez les tentatives d’accès sensibles, les échecs d’authentification et surveillez les activités anormales (tentatives répétées, patterns d’IP).

Renvoyer des messages d’erreur génériques côté client pour éviter la fuite d’informations détaillées, tout en consignant les détails côté serveur pour l’analyse.

• JWT d’initiation (GitHub App) : très court (ex. 5 minutes).
• Sessions web : durée raisonnable (ex. quelques heures à jours selon sensibilité).
• Clés API : durée longue, mais possibilité de révoquer/renouveler manuellement.

Mettre en place une rotation régulière des clés API et des tokens d’installation GitHub si possible ; avertir l’utilisateur avant expiration/rotation.

Stocker uniquement les cookies HttpOnly et éviter d’exposer des tokens dans le stockage local. Pour les intégrations machines, conserver les clés dans un coffre sécurisé.

Permettre la révocation immédiate d’une session ou d’une clé API compromise via l’interface utilisateur ou l’administration.

En cas de fuite, révoquer les tokens affectés, forcer la réinitialisation des mots de passe si nécessaire et surveiller les logs d’activité.