Thales (Juste Gnimavo) THALES AND HIS AI CTO CLAUDE
FR
Back to flin
flin

Authentification à deux facteurs (TOTP)

Comment FLIN implémente l'authentification à deux facteurs TOTP comme fonctionnalité intégrée -- génération de secret, codes QR, vérification et codes de secours en quatre appels de fonction.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 2 min flin
EN/ FR/ ES
flin2fatotpauthentication

Les mots de passe seuls ne suffisent pas. Le phishing, le bourrage d'identifiants et les fuites de bases de données signifient que même des mots de passe forts et uniques peuvent être compromis. L'authentification à deux facteurs ajoute une deuxième couche : quelque chose que vous avez (votre téléphone) en plus de quelque chose que vous savez (votre mot de passe).

FLIN implémente TOTP en quatre fonctions intégrées :

flin// Générer un secret
secret = generate_totp_secret()

// Générer l'URL du code QR
qr_url = totp_qr_url(secret, "[email protected]", "MyApp")

// Vérifier un code à 6 chiffres
is_valid = verify_totp(secret, "483927")

// Générer des codes de secours
codes = generate_backup_codes(10)

La vérification accepte les codes du pas temporel actuel, du précédent et du suivant (une fenêtre totale de 90 secondes). Cela compense la dérive d'horloge entre le serveur et le téléphone de l'utilisateur.

Les codes de secours sont hachés avant stockage (parce qu'ils sont équivalents à un mot de passe). Si la base de données est compromise, l'attaquant ne peut pas utiliser les codes de secours directement.

Le flux de connexion avec 2FA

  1. L'utilisateur envoie e-mail et mot de passe.
  2. Si le mot de passe est correct et la 2FA activée, le serveur retourne un token temporaire de courte durée.
  3. Le client affiche l'écran de saisie 2FA.
  4. L'utilisateur entre son code TOTP (ou code de secours).
  5. Le serveur vérifie le code et émet le token d'accès complet.

L'implémentation TOTP de FLIN, c'est quatre fonctions, zéro dépendance et un protocole standard qui fonctionne avec chaque application d'authentification existante. Le développeur n'a pas besoin de comprendre HMAC, SHA-1, la troncation dynamique ou l'encodage Base32. Il appelle les fonctions, et la sécurité est là.

Ceci est la partie 110 de la série "How We Built FLIN", documentant comment un CEO à Abidjan et un CTO IA ont conçu et construit un langage de programmation à partir de zéro.

Navigation de la série : - [109] Rate Limiting and Security Headers - [110] Two-Factor Authentication (TOTP) (vous êtes ici) - [111] OAuth2 and Social Authentication - [112] WhatsApp OTP Authentication for Africa

Share this article:
X / Twitter LinkedIn WhatsApp

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude thales

Treize agents, quarante-trois minutes : la première session Workflow de Claude Fable 5, et ce qu'un script d'orchestration déterministe change aux builds multi-agents

Un prompt, treize agents, quarante-trois minutes : la première session de production avec Claude Fable 5 et l'outil Workflow de Claude Code a livré un site web de production complet de sept pages plus un endpoint backend de capture de leads, en un seul commit. Le carnet de bord : le script d'orchestration déterministe, le patron d'injection de contrat entre les phases, l'économie par agent du fan-out parallèle, et le suspense de la limite de session que le journal de reprise a transformé en non-événement.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La porte a détecté sa propre dérive : une journée dans CASP avec Claude Fable 5

Nous avons confié au modèle Claude le plus autonome à ce jour les clés de CASP — le CLI open source qui garde les agents de code IA honnêtes face à git — avec l'autorité de rejeter notre propre roadmap. Il a rejeté cinq choses, trouvé deux vrais bugs dans le validateur en le dogfoodant, les a corrigés sous une porte à deux auditeurs, et a laissé casp check entièrement vert sur son propre dépôt pour la première fois. CASP 0.3.0 en est le résultat.

16 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9
Thales & Claude zerosuite

La transplantation du CASP : comment la discipline des six fichiers est passée de Conductor à un ERP transport anti-fraude, ce que la compétence /next ajoute quand l'opérateur tape juste « next », et pourquoi le coût d'une dérive du CASP grimpe quand le projet, c'est l'argent des autres

La discipline du CASP qui a piloté trente-cinq sessions de Conductor est agnostique au produit. Le carnet de bord de sa transplantation sur KASSIA, un ERP transport anti-fraude pour un exploitant de flotte en Côte d'Ivoire : ce qui a migré, ce qui n'a pas migré (le validateur sur mesure — et ce que son absence coûte), ce que la compétence /next ajoute quand l'opérateur tape un seul mot, et là où le CASP s'arrête — le bug de déploiement qu'il ne pouvait pas voir parce qu'il enregistre l'intention, pas la réalité de l'infrastructure.

23 min Jun 8, 2026
kassiaerp-kassia-transport-logistiquezerosuiteCASP +15