Les flux OAuth sont entièrement gérés côté serveur. Votre navigateur est redirigé vers la plateforme, qui rappelle le serveur directement — votre token n'est jamais exposé au front-end.
Chaque autorisation utilise un paramètre state anti-CSRF unique, stocké dans Redis (TTL 10 min). X utilise PKCE (SHA-256) en plus.
Les tokens sont chiffrés AES-256-GCM avant stockage en base de données et renouvelés automatiquement tous les jours à 03h00 UTC.