L'auth est la première friction que rencontre votre utilisateur. Un formulaire mot de passe classique perd typiquement 15-25 % des inscrits par oubli, tentative multiple ou reset raté. Choisir la bonne stratégie, c'est gagner de l'activation.
Recommandation par défaut 2025 : magic link + Google OAuth. Pas de mot de passe traditionnel sauf demande explicite du marché (secteur régulé, entreprise).
Magic link
- Un email avec un lien qui connecte, expire en 10-15 min
- Zéro mot de passe à retenir
- Piège : délivrabilité email — utilisez Resend / Postmark, jamais SMTP maison
Google / Apple / GitHub OAuth
- Un clic, pas d'email à ouvrir
- Google converts 30-40 % mieux qu'un magic link seul
- Apple OAuth obligatoire sur iOS si vous proposez d'autres OAuth
Mot de passe classique
- Encore utile si votre marché n'utilise pas Google (secteur régulé, DSI)
- Toujours hashé avec argon2 ou bcrypt, jamais moins
- Ajoutez MFA obligatoire pour les admins
Passkeys — 2025 la vraie année
Les passkeys (WebAuthn) sont enfin utilisables sans galère depuis Safari 17 et Chrome 118+. À proposer en option pour les early adopters : taux d'usage encore faible mais UX imbattable.
Chaque étape d'auth que vous supprimez, c'est 5 à 15 % d'activation en plus.
On refactor votre auth ?
En 30 minutes on peut regarder votre flow actuel et identifier les gains rapides. Réservez un appel. À lire : Clerk vs Supabase Auth vs Auth.js.