> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Applications confidentielles et publiques

> Décrit la différence entre les types d’applications publiques et confidentielles.

Selon la [Spécification OAuth 2.0](https://tools.ietf.org/html/rfc6749#section-2.1), les applications peuvent être classées comme confidentielles ou publiques. Différence principale : si une application a ou non la capacité de contenir des identifiants (comme ID client et secret) de manière sécurisée. Cela affecte le type d’authentification utilisée par l’application.

Lorsque vous créez une application avec le Tableau de bord, Auth0 vous demande le type d’application que vous souhaitez affecter à cette nouvelle application et utilise cette information pour déterminer si l’application est confidentielle ou publique.

Pour en savoir plus, consulter [Vérification du caractère confidentiel ou public d’une application](/docs/fr-ca/get-started/applications/confidential-and-public-applications/view-application-type).

## Applications privées

Les applications confidentielles peuvent conserver des identifiants de manière sécurisée sans les exposer à des parties non autorisées. Elles exigent un serveur dorsal pour stocker le ou les secrets.

### Types d’autorisation

Les applications confidentielles utilisent un serveur dorsal de confiance et peuvent utiliser des types d’autorisation exigeant de spécifier leur ID Client et Secret client (ou autres identifiants enregistrés alternatifs) pour s’authentifier en appelant le point de terminaison [Obtenir un jeton](https://auth0.com/docs/api/authentication#get-token) de l’Authentication API Auth0. Les applications confidentielles peuvent utiliser les méthodes d’authentification Publication du secret client <Tooltip href="/docs/fr-ca/glossary?term=json-web-token" tip="Jeton Web JSON (JWT)
Format standard de jeton d’ID (et souvent de jeton d’accès) utilisé pour représenter en toute sécurité des demandes entre deux parties." cta="Voir le glossaire">JWT</Tooltip>, Secret client de base ou [Clé privée JWT](/docs/fr-ca/get-started/authentication-and-authorization-flow/authenticate-with-private-key-jwt).

Les applications suivantes sont considérées comme des applications confidentielles :

* Une application web avec un système dorsal sécurisé qui utilise le[Flux de code d’autorisation](/docs/fr-ca/get-started/authentication-and-authorization-flow/authorization-code-flow), [Flux de mot de passe du propriétaire de ressource](/docs/fr-ca/get-started/authentication-and-authorization-flow/resource-owner-password-flow) ou Flux de mot de passe du propriétaire de ressource avec soutien de partition
* Une application de communication entre machines (M-M) qui utilise le [Flux des identifiants client](/docs/fr-ca/get-started/authentication-and-authorization-flow/client-credentials-flow)

### Jetons d’ID

Étant donné que les applications confidentielles sont capables de stocker les secrets, vous pouvez leur émettre des jetons d'ID lorsqu’ils sont connectés de l’une de deux façons :

* Symétriquement, en utilisant le secret client (`HS256`)
* Asymétriquement, en utilisant une clé privée (`RS256`)

## Applications publiques

Applications publiques **ne peuvent pas** détenir les identifiants en toute sécurité.

### Types d’autorisation

Les applications publiques ne peuvent utiliser que les types d’autorisation ne demandant pas d’utiliser leur secret client. Elles ne peuvent envoyer de secret client parce qu’elles ne peuvent pas conserver la confidentialité et les identifiants nécessaires.

Ces applications sont publiques :

* Une application de bureau ou mobile native qui utilise [Flux de code d’autorisation avec PKCE](/docs/fr-ca/get-started/authentication-and-authorization-flow/authorization-code-flow-with-pkce)
* Une application web côté client basée sur JavaScript (telle qu’une application à page unique) qui utilise le [flux d’autorisation implicite](/docs/fr-ca/get-started/authentication-and-authorization-flow/implicit-flow-with-form-post)

### Jetons d’ID

Les applications publiques ne pouvant contenir de secrets, les [jetons d’ID](/docs/fr-ca/secure/tokens/id-tokens) qui leur sont délivrés doivent être :

* Signés asymétriquement, en utilisant une clé privée (`RS256`)
* Vérifiés à l’aide de la clé publique correspondant à la clé privée utilisée pour signer le jeton

## En savoir plus

* [Vérification du caractère confidentiel ou public d’une application](/docs/fr-ca/get-started/applications/confidential-and-public-applications/view-application-type)
* [Applications de première et de tierce partie](/docs/fr-ca/get-started/applications/first-party-and-third-party-applications)
* [User Consent and Third-Party Applications (Consentement de l’utilisateur et applications tierces)](/docs/fr-ca/get-started/applications/third-party-applications/user-consent-and-third-party-applications)
