Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
FR
Back to flin
flin

Authentification à deux facteurs (TOTP)

Comment FLIN implémente l'authentification à deux facteurs TOTP comme fonctionnalité intégrée -- génération de secret, codes QR, vérification et codes de secours en quatre appels de fonction.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 2 min flin
EN/ FR/ ES
flin2fatotpauthentication

Les mots de passe seuls ne suffisent pas. Le phishing, le bourrage d'identifiants et les fuites de bases de données signifient que même des mots de passe forts et uniques peuvent être compromis. L'authentification à deux facteurs ajoute une deuxième couche : quelque chose que vous avez (votre téléphone) en plus de quelque chose que vous savez (votre mot de passe).

FLIN implémente TOTP en quatre fonctions intégrées :

flin// Générer un secret
secret = generate_totp_secret()

// Générer l'URL du code QR
qr_url = totp_qr_url(secret, "[email protected]", "MyApp")

// Vérifier un code à 6 chiffres
is_valid = verify_totp(secret, "483927")

// Générer des codes de secours
codes = generate_backup_codes(10)

La vérification accepte les codes du pas temporel actuel, du précédent et du suivant (une fenêtre totale de 90 secondes). Cela compense la dérive d'horloge entre le serveur et le téléphone de l'utilisateur.

Les codes de secours sont hachés avant stockage (parce qu'ils sont équivalents à un mot de passe). Si la base de données est compromise, l'attaquant ne peut pas utiliser les codes de secours directement.

Le flux de connexion avec 2FA

  1. L'utilisateur envoie e-mail et mot de passe.
  2. Si le mot de passe est correct et la 2FA activée, le serveur retourne un token temporaire de courte durée.
  3. Le client affiche l'écran de saisie 2FA.
  4. L'utilisateur entre son code TOTP (ou code de secours).
  5. Le serveur vérifie le code et émet le token d'accès complet.

L'implémentation TOTP de FLIN, c'est quatre fonctions, zéro dépendance et un protocole standard qui fonctionne avec chaque application d'authentification existante. Le développeur n'a pas besoin de comprendre HMAC, SHA-1, la troncation dynamique ou l'encodage Base32. Il appelle les fonctions, et la sécurité est là.

Ceci est la partie 110 de la série "How We Built FLIN", documentant comment un CEO à Abidjan et un CTO IA ont conçu et construit un langage de programmation à partir de zéro.

Navigation de la série : - [109] Rate Limiting and Security Headers - [110] Two-Factor Authentication (TOTP) (vous êtes ici) - [111] OAuth2 and Social Authentication - [112] WhatsApp OTP Authentication for Africa

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

Le Step Zero ne suffisait pas : comment valider un constructeur sans valider le runtime a fait tomber toutes les sessions vocales de Déblo l’heure où nous avons livré le streaming caméra temps réel

La phase 14 a livré Déblo Eyes — streaming caméra temps réel via LiveKit vers Gemini Live native audio. Le premier deploy a fait tomber toutes les sessions vocales en production en quatre-vingt-dix secondes parce que notre Step 0 avait validé le constructeur sans exercer le runtime. Le build log de comment Déblo a eu des yeux, ce qu’un pré-vol incomplet a coûté, et quels points de polish ont été livrés ou reportés.

33 min May 20, 2026
debloclaude-opus-4.7claude-codegemini-live +25
Thales & Claude deblo

Le tiret cadratin qui a tué la production : comment un slogan marketing dans un header HTTP a fait tomber le chat de Déblo pendant 24 heures

Deux jours avant la soumission App Store, tout le produit chat de Déblo s’est cassé silencieusement. Pas de spinner, pas de toast, aucune erreur dans l’UI — juste un silence radio. L’incident de 24 heures se résumait à un seul « é » dans la valeur d’un header HTTP qui levait une UnicodeEncodeError avant qu’aucune requête vers OpenRouter ne quitte le backend. Post-mortem d’une fausse hypothèse, d’une trace Sentry, et d’un fix de six lignes qui a débloqué le lancement.

30 min May 19, 2026
debloclaude-opus-4.7claude-codeincident +19
Thales & Claude deblo

Six heures, d’une page blanche à la review Apple — Comment nous avons soumis Déblo à l’App Store, en direct

Marche à marche en direct de la soumission de Déblo à l’App Store iOS en six heures : ce que les validateurs d’Apple ont rejeté (un superscript Unicode), ce que nous avons corrigé (un Promotional Text gaspillé sur des marques tierces), et les rouages de l’ASO iOS que presque tout le monde rate.

30 min May 13, 2026
debloclaude-opus-4.7claude-codeapp-store +16