Ce clic qu'on n'a pas regardé
Tu te souviens de ce moment pendant l'installation de Claude Code. Tu suivais les étapes, tu tapais des commandes dans le terminal, et puis soudain ton navigateur s'est ouvert tout seul. Une page Anthropic. Un bouton "Autoriser".
Tu as cliqué.
Bien sûr que tu as cliqué. C'était le bon moment, le bon contexte, ça semblait être ce qu'il fallait faire. Et l'installation a continué. On est passées à la suite sans s'arrêter.
Je n'avais pas regardé non plus, la première fois. Le navigateur s'ouvre, on clique Autoriser, on revient au terminal. Geste rapide, presque réflexe. Mais il s'est passé deux choses à ce moment-là, pas une. Et la distinction entre ces deux choses va revenir souvent dans la suite de ce qu'on construit.
Alors autant s'y arrêter maintenant.
Deux questions, pas une
Qui es-tu ?
Quand la page Anthropic s'est ouverte, la première chose qui s'est produite, c'est une vérification d'identité. Anthropic a regardé si tu étais bien connectée à un compte. Pas n'importe quel compte, ton compte. Celui qui correspond à ton adresse e-mail, celui dont tu connais le mot de passe.
C'est une question simple en apparence : est-ce que la personne qui est là, devant cet écran, est bien celle qu'elle prétend être ?
Si tu n'étais pas connectée, la page t'aurait demandé de te connecter d'abord. Parce qu'avant de décider quoi que ce soit, il faut savoir à qui on parle.
As-tu le droit ?
Une fois l'identité confirmée, une deuxième vérification s'est enchaînée si vite qu'elle était invisible. Anthropic a regardé ce que ton compte avait le droit de faire. Claude Code est accessible aux comptes Pro. Si tu avais eu un compte gratuit, la réponse à cette deuxième question aurait été non, même si la réponse à la première était oui.
Tu étais bien toi. Mais tu n'aurais pas eu le droit.
Les deux vérifications sont indépendantes. L'une porte sur l'identité, l'autre sur les permissions. Ce n'est pas parce qu'Anthropic sait qui tu es qu'il sait ce que tu peux faire. Et ce n'est pas parce que Claude Code est accessible aux comptes Pro que n'importe qui peut y accéder en se déclarant Pro.
Les deux doivent être vraies en même temps.
La même chose avec une beta-testeuse
Pimpela est en beta privée. Ça veut dire que l'application existe, qu'elle tourne, mais qu'elle n'est pas ouverte à tout le monde. Quand quelqu'un veut tester, je dois l'ajouter manuellement.
Ce processus, je l'ai fait pour la première fois il y a quelques semaines, avec une amie qui voulait essayer l'outil sur sa chambre d'amis. Et en le faisant, j'ai réalisé que je faisais exactement deux gestes distincts, dans un ordre qui compte.
D'abord, j'ai créé son compte. Ça, c'est lui donner une identité dans le système. Elle a reçu un e-mail, elle a choisi un mot de passe, et à partir de ce moment-là Pimpela peut la reconnaître quand elle revient. Elle peut prouver qu'elle est bien elle.
Mais à ce stade, elle ne peut rien faire. Son compte existe, son identité est établie, et si elle essaie d'accéder à la beta elle se retrouve face à une page vide ou un message d'erreur. Parce que je n'ai pas encore fait le deuxième geste.
Le deuxième geste, c'est lui octroyer l'accès beta. Dans Supabase, la base de données qui fait tourner Pimpela, il y a une table qui liste les comptes autorisés à utiliser la version en cours. J'ai ajouté son adresse e-mail à cette liste. Et là seulement, son compte a eu le droit d'entrer.
Si j'avais fait les gestes dans l'autre sens, ça n'aurait rien changé. Ajouter une adresse e-mail à la liste des accès beta avant de créer le compte ne lui aurait donné aucun accès, parce qu'il n'y aurait pas encore de compte à autoriser. L'ordre peut varier selon les systèmes, mais les deux gestes sont toujours là, et ils restent séparés.
Sans le premier, le deuxième ne sert à rien. Sans le deuxième, le premier ne donne accès à rien.
Les mots pour le dire
Ce premier geste, celui qui établit l'identité, c'est l'authentification.
Prouver qui tu es. Se connecter avec un e-mail et un mot de passe. Confirmer que le compte existe et que la personne devant l'écran en est bien la propriétaire. C'est ça, l'authentification. Rien de plus.
Le deuxième geste, celui qui détermine ce qu'on a le droit de faire, c'est l'autorisation.
Avoir accès à Claude Code parce que ton compte est Pro. Pouvoir entrer dans la beta de Pimpela parce que ton adresse e-mail figure dans la bonne liste. Voir certaines pages et pas d'autres selon ton rôle dans un outil. C'est ça, l'autorisation. Le périmètre de ce qui t'est permis, une fois qu'on sait qui tu es.
Dans la vraie vie, et dans les conversations techniques, on dit souvent "auth" pour les deux. "Gérer l'auth" d'un produit, ça peut vouloir dire mettre en place la connexion, les permissions, les rôles, tout le système qui décide qui peut faire quoi. Le raccourci est commode, mais il entretient une confusion qui coûte cher quand quelque chose ne marche pas.
Parce que quand ça ne marche pas, les deux pannes ne ressemblent pas à la même chose.
Si tu n'es pas authentifiée, le système ne te reconnaît pas. Il te demande de te connecter, ou il t'ignore complètement. C'est une erreur d'identité.
Si tu n'es pas autorisée, le système te reconnaît très bien, il sait exactement qui tu es, et il te dit non quand même. C'est une erreur de permission.
La première se règle en se connectant. La deuxième se règle en changeant les droits du compte. Ce ne sont pas les mêmes actions, et confondre les deux fait perdre du temps.
J'ai passé vingt minutes un soir à essayer de me reconnecter à un outil dont je n'arrivais pas à voir certaines pages, en pensant que mon compte avait un problème. J'étais parfaitement connectée. Je n'avais juste pas le bon niveau d'accès. Deux mots différents, deux diagnostics différents, deux solutions différentes.
Pourquoi ça va revenir
Dans les prochains articles, on va connecter des outils entre eux. Pimpela s'appuie sur Supabase pour stocker les données. Claude Code va avoir besoin d'accéder à des services externes. Des intégrations vont demander des permissions, des formulaires de connexion vont apparaître, des erreurs d'accès vont surgir au moment où on s'y attend le moins.
À chaque fois, il y aura ces deux couches.
Est-ce que l'outil sait qui je suis ? Est-ce que mon compte a le droit de faire ce que j'essaie de faire ?
Quand quelque chose bloque, la première question à se poser, c'est laquelle des deux couches pose problème. Pas "pourquoi ça marche pas", mais "est-ce que c'est une question d'identité ou une question de droit ?" La réponse oriente immédiatement vers la bonne action.
C'est tout ce que ces deux mots font. Ils découpent un problème flou en deux problèmes précis. Et un problème précis, ça se résout.