Comment gérer les tokens OAuth en prod sans tout compliquer ?

[Amelia96]

Je suis en train de bosser sur un petit projet perso pour automatiser des tâches entre mon appli de notes et mon calendrier, et je me retrouve un peu bloqué. J'ai écrit un script qui fonctionne chez moi, mais quand j'essaie de le faire tourner sur un serveur distant pour qu'il soit actif en permanence, j'ai des problèmes d'authentification qui me semblent liés aux **tokens OAuth**. C'est la première fois que je tente ce genre de déploiement, et je me demande si d'autres ont déjà eu ce cas de figure où tout marche en local mais plus du tout une fois déplacé. Je ne suis pas sûr de la meilleure approche pour gérer ces secrets de façon sécurisée dans ce nouveau contexte.

[JohnS]

Le token OAuth sur le serveur pose problème lorsque le contexte change et que le rafraîchissement n est plus géré comme en local. L essentiel est d automatiser le refresh et de stocker les secrets en sécurité.

[Eric.M]

Dans ma pratique les secrets ne traversent pas le réseau sans être protégés. En local tu as le token OAuth mais sur le serveur il faut un coffre fort ou une gestion des secrets et des variables d environnement.

[DonaldUT]

Et si le vrai souci n est pas le token mais la façon dont le flux d authentification se comporte lorsque on déplace le service ?

[Addison85]

J avoue que c est frustrant quand tout marche en local et que le déploiement rate aux premiers essais. Le token OAuth se comporte comme un personnage imprévisible.

[ScarlettAT]

Pour le token OAuth ce qui marche c est d utiliser un refresh token et de stocker les secrets dans un coffre ou un service de gestion de secrets et de faire tourner le script avec une identité qui peut lire ces secrets. Pense aussi a la rotation et aux alertes.

[KennethPA]

On peut reformuler le probleme comme une question de gestion des secrets et de rotation des tokens plus que de faire tourner le code en continu. Le token OAuth devient ainsi une infrastructure et non une simple donnée.