7 meilleures plateformes Magic Link pour l'authentification sans mot de passe

Ces liens sont à l’avant-garde de l’avenir magique de l’authentification sans mot de passe.

L’authentification des utilisateurs est un sujet très sensible pour toute application commerciale. Elle doit être à la fois très sûre et sans friction pour trouver un équilibre parfait entre la sécurité et la satisfaction de l’utilisateur.

Depuis les premiers jours de l’internet, les mots de passe ont été le mécanisme d’authentification de facto pour tout le monde. Cela a commencé par de simples chaînes de caractères comme 1234 ou qwerty, qui suffisaient amplement à la tâche jusqu’à ce que les cybercriminels commencent à en faire leur gagne-pain.

Puis sont apparus les gestionnaires de mots de passe, qui génèrent et sauvegardent des mots de passe forts pour une expérience de connexion plus sûre. Cependant, ces outils suscitent des frictions et les gens ne veulent toujours pas les utiliser pour diverses raisons :

statistic_id1305962_main-reasons-not-to-use-a-password-manager-worldwide-2022 — Source : statista.com

Il fallait donc trouver quelque chose de plus facile et de plus sûr à la fois.

Bienvenue à l’authentification sans mot de passe !

C’est l’alternative moderne et relativement plus sûre aux mots de passe. Elle est conviviale et plus transparente.

Par exemple, Apple Face ID est une authentification sans mot de passe que j’adore. De même, l’authentification biométrique et les mots de passe à usage unique sont également sans mot de passe.

Et il existe de nombreuses autres techniques de ce type, dont les liens magiques.

Que sont les liens magiques ?

Les liens magiques permettent aux utilisateurs d’entrer leur nom d’utilisateur et d’obtenir un lien dans la boîte aux lettres associée sur lequel ils doivent cliquer pour se connecter.

Dans un monde imaginaire où les courriels fonctionnent parfaitement et où toutes les plateformes utilisent l’authentification par lien magique, les utilisateurs doivent se souvenir d’un seul mot de passe pour leur fournisseur de services de messagerie.

Le reste sera pris en charge par Magic Links. C’est infiniment plus pratique du point de vue de l’utilisateur. De plus, cela rend les tentatives de piratage de mot de passe inutiles et sans intérêt.

Voici donc quelques outils qui vous aideront à intégrer ce système dans votre application.

Stytch

La meilleure partie de Stytch est sa mise en œuvre simple et un plan gratuit pour vous aider à démarrer.

Il y a deux façons d’intégrer des liens magiques avec Stytch : API et SDK.

Actuellement, les SDK de Stytch sont disponibles en JavaScript, React et Next. C’est la façon la plus rapide de démarrer avec un minimum de traînée. Vous obtenez l’interface utilisateur préconstruite que vous pouvez personnaliser pour votre marque.

L’API Stytch, quant à elle, vous donne le contrôle ultime sur le design.

Le plan gratuit fonctionne pour 5 000 utilisateurs actifs mensuels (UAM) ; ensuite, vous payez à l’utilisation.

Les abonnements payants offrent plus de personnalisations de la conception et pas de marquage Stytch.

FusionAuth

FusionAuth possède également sa propre interface, qui nécessite un minimum de données, et son API sans mot de passe, qui offre une flexibilité totale.

Ses liens magiques envoient un code limité dans le temps que l’utilisateur doit saisir dans le formulaire de connexion pour continuer. Cependant, l’option API vous permet d’envoyer ce code par SMS ou par notification push pour une expérience encore plus fluide.

En outre, FusionAuth propose également l’authentification Google One Tap, qui détecte automatiquement les comptes Google actifs dans le navigateur et s’affiche, permettant à l’utilisateur de se connecter d’une simple pression.

FusionAuth propose deux types d’abonnement basés sur l’hébergement.

Vous pouvez utiliser l’auto-hébergement, qui dispose également d’un plan gratuit soutenu par la communauté, sans limitation du nombre d’utilisateurs actifs mensuels. L’hébergement dans le nuage ne propose malheureusement pas de plan gratuit pour commencer. Cependant, vous pouvez faire un essai gratuit de 14 jours de son plan de base.

WorkOS

WorkOS dispose de SDK dans plusieurs langages de programmation, notamment Node.js, Ruby, Python, Java, .Net, etc. pour vous aider à démarrer.

Vous pouvez utiliser l’API WorkOS ou un fournisseur de messagerie personnalisé pour envoyer les courriels d’authentification du lien magique. Ces liens à usage unique restent valables pendant 15 minutes.

WorkOS propose de nombreux modèles d’e-mails que vous pouvez également personnaliser pour mieux correspondre à votre marque.

Enfin, vous pouvez démarrer gratuitement sans aucun paiement initial.

MojoAuth

Avec des intégrations prêtes à l’emploi pour des plateformes telles que WordPress, Webflow, Bubble, etc., MojoAuth assure l’une des mises en œuvre les plus rapides des liens magiques.

Ses SDK sont disponibles dans différents langages et plateformes, tels que Node.js, Java, Android, Golang, iOS, PHP, Asp.net, etc.

En outre, son API est destinée aux développeurs pour une application personnalisée en fonction du cas d’utilisation. En outre, MojoAuth permet également d’utiliser des liens magiques dans un cadre typique d’authentification multifactorielle (MFA) avec ses API indépendantes.

La meilleure partie de MojoAuth est une interface utilisateur en marque blanche pour ses utilisateurs et une garantie de temps de fonctionnement de 99,9%.

Le plan de base commence pour 1000 MAUs, et tous les plans viennent avec des fonctionnalités comme des utilisateurs illimités, des connexions illimitées, des OTP par email, la gestion d’équipe, etc. Bien qu’il n’y ait pas de plan gratuit, vous pouvez profiter de l’essai gratuit de 30 jours.

Supabase

Supabase est un outil open-source permettant de gérer l’authentification par lien magique.

Il y a deux façons de contourner ce problème avec Supabase. La première consiste à ajouter directement l’authentification sans mot de passe dans les projets Supabase en tant que base de données Postgres. L’autre possibilité est d’introduire un code de connexion dans vos applications en JavaScript ou Flutter.

En ce qui concerne les prix, vous pouvez commencer gratuitement jusqu’à 50 000 MAU et 200 connexions simultanées. Les plans payants ajoutent des fonctionnalités telles que l’assistance par courriel, les sauvegardes quotidiennes, la conservation des journaux pendant 7 jours, une plus grande bande passante, etc.

Clerk

Clerk garantit une fonctionnalité de lien magique de premier ordre, entièrement mise en œuvre et fonctionnant en quelques minutes seulement.

Son authentification par lien magique inclut la redirection avec le lien sans mot de passe à usage unique (OTP). En outre, il est possible d’ajouter des liens magiques dans le cadre d’un processus MFA.

L’API de Clerk est disponible en Next.js, React et JavaScript. Vous pouvez utiliser son authentification par lien magique pour les inscriptions, les connexions et la vérification de l’adresse e-mail.

Son plan gratuit offre 5000 MAUs, un nombre total de comptes illimité, des domaines personnalisés et un support communautaire avec sa propre marque. Les plans payants ajoutent un nombre illimité d’UAM et de domaines personnalisés, autorisent la mise en liste/blocage, l’AMF, la durée de session personnalisée, et plus encore.

Descope

Les liens magiques deDescope permettent des URL de connexion et des OTP et offrent un niveau gratuit généreux permettant jusqu’à 7 500 MAU pour les startups.

Même la mise en œuvre est un jeu d’enfant avec des options flexibles telles que SDK, API et Flows.

Descope Flows est une interface glisser-déposer sans code que vous pouvez utiliser pour créer des réponses d’interaction avec l’utilisateur. Il est livré avec un constructeur de flux, un constructeur d’écran et un personnalisateur de conception et constitue le moyen le plus rapide de démarrer.

En outre, les SDK vous offrent deux options : les SDK clients et les SDK backend, selon que vous souhaitez que Descope gère la gestion des sessions ou intègre votre propre serveur aux services Descope.

Enfin, les API REST sont destinées à des cas d’utilisation avancés avec une flexibilité supérieure.

Cependant, ce que j’ai le plus apprécié chez Descope, c’est qu’il n’y a pas de filigrane avec le niveau gratuit, et qu’il est même accompagné d’un SLA de 99%, ce qui en fait une option décente pour n’importe quelle startup.

Ils sont magiques !

Si vous pouvez garantir une excellente délivrabilité des e-mails, il n’y a aucune raison d’éviter l’authentification par lien magique.

Ils sont généralement plus rapides et plus conviviaux que les mots de passe. Toutefois, vous pouvez essayer d’éviter les OTP dans les courriels de liens magiques, car cela va à l’encontre de l’objectif recherché. Il est plus souhaitable d’utiliser un seul lien cliquable qui permet à l’utilisateur de se connecter.

C’est tout ce que j’avais à dire. À la prochaine !

PS : Consultez un guide complet sur l’authentification multifactorielle.

Hitesh Sant
Contributeur
- LinkedIn
Hitesh Sant est rédacteur technique senior chez Geekflare, où il couvre la cybersécurité, les systèmes d’exploitation, l’IA générative et les crypto-monnaies. Ses écrits bénéficient de son expérience pratique des logiciels SaaS chauds et des dernières technologies, dans le but de démystifier des concepts technologiques complexes pour les consommateurs finaux.