Manuel utilisateur — comptes et authentification
Ce guide explique comment gérer votre compte sur l'application : création, connexion, sécurisation par double authentification (2FA), récupération de mot de passe et accès programmatique via un token API. L'application repose sur un modèle de compte standard (adresse e-mail + mot de passe), renforcé par une vérification en deux étapes.
Les chemins d'écran cités (Mon compte → Sécurité, etc.) sont des repères génériques : l'intitulé exact peut varier selon la version de votre interface.
Créer un compte
- Ouvrez la page d'inscription (
/registerou le bouton Créer un compte). - Renseignez votre adresse e-mail et un mot de passe.
- Validez : un e-mail de vérification vous est envoyé.
- Cliquez sur le lien reçu pour activer le compte.
Tant que l'e-mail n'est pas vérifié, le compte reste inactif et la connexion est refusée. Si vous ne recevez rien, vérifiez vos courriers indésirables avant de redemander un envoi.
Se connecter
- Ouvrez la page de connexion (
/login). - Saisissez votre adresse e-mail et votre mot de passe.
- Si la 2FA est activée, saisissez le code reçu par e-mail.
Vous pouvez marquer un appareil comme de confiance pour ne pas ressaisir le code à chaque connexion depuis cet appareil. Réservez cette option à vos appareils personnels.
Activer la double authentification (2FA)
La double authentification ajoute une seconde barrière : même si votre mot de passe est compromis, un attaquant ne peut pas se connecter sans le code à usage unique.
- Allez dans Mon compte → Sécurité.
- Activez la 2FA par e-mail.
- À chaque connexion, un code à usage unique est envoyé à l'adresse e-mail du compte.
Bonne pratique : gardez l'accès à la boîte e-mail du compte protégé lui-même. Une 2FA par e-mail ne vaut que si l'e-mail est sécurisé.
Une 2FA par application d'authentification (codes TOTP type Google Authenticator / Authy) peut être proposée ultérieurement selon la version.
Réinitialiser son mot de passe
- Sur la page de connexion, cliquez sur Mot de passe oublié.
- Saisissez l'adresse e-mail du compte.
- Cliquez sur le lien reçu par e-mail. Ce lien a une durée de validité limitée (typiquement une heure).
- Définissez un nouveau mot de passe.
Si le lien a expiré, relancez simplement la procédure pour en recevoir un nouveau.
Token API
Un token API permet d'interroger l'application par programme (intégrations, outils, automatisations) sans ouvrir de session web. Il vous authentifie à la place du couple e-mail / mot de passe.
- Allez dans Mon compte → Token API.
- Générez un token.
- Utilisez-le dans vos requĂŞtes HTTP via l'en-tĂŞte d'autorisation :
Authorization: Bearer <VOTRE_TOKEN>
Points de sécurité importants :
- Le token n'est affiché qu'une seule fois, au moment de la génération. Copiez-le et conservez-le immédiatement dans un gestionnaire de secrets.
- Traitez-le comme un mot de passe : ne le mettez jamais dans un dépôt de code, un ticket ou un message.
- Pour le révoquer, régénérez un nouveau token : l'ancien est alors invalidé automatiquement.
RĂ´les et permissions
L'accès aux fonctionnalités dépend du rôle attribué à votre compte. Le principe est celui du moindre privilège : chaque compte ne dispose que des droits nécessaires à son usage.
| Rôle | Accès |
|---|---|
| Utilisateur standard | Consultation, assistant, gestion de son propre profil |
| Administrateur | Interface d'administration complète |
Les rôles sont attribués par un administrateur depuis l'espace de gestion des utilisateurs. Un utilisateur ne peut pas s'auto-attribuer de droits élevés : c'est une décision de gouvernance, tracée côté administration.
En cas de problème
- Compte inactif : vérifiez que l'e-mail de confirmation a bien été validé.
- Code 2FA non reçu : contrôlez les courriers indésirables et l'exactitude de l'adresse e-mail du compte.
- Lien de réinitialisation expiré : relancez la procédure « Mot de passe oublié ».
- Token qui ne fonctionne plus : il a probablement été invalidé par une régénération ; produisez-en un nouveau.