Développeur Flutter signale absence de redirection après mot de passe dans flux OAuth Android

Brian Kibet, développeur Flutter, a récemment signalé un dysfonctionnement dans le flux d’authentification OAuth 2.0 de son application Android. Après une connexion réussie via Google en utilisant le SDK Logto, le navigateur ne redirige pas vers le deep link configuré une fois que l’utilisateur a défini un mot de passe pour un nouveau compte. Ce problème se manifeste précisément de la manière suivante : l’utilisateur atterrit sur la page « Définir un mot de passe » après la connexion Google, clique sur « Enregistrer le mot de passe », observe un spinner de chargement, mais aucune redirection vers l’application ne se produit. Kibet emploie le paquet logtodartsdk ainsi que flutterwebauth_2, avec le mode développement activé. Il s’interroge sur l’obligation de cette étape pour les logins sociaux et sur la configuration nécessaire dans Logto pour un retour automatique. Les flux OAuth 2.0 pour applications mobiles, souvent basés sur l’autorisation par code avec PKCE (Proof Key for Code Exchange) pour sécuriser les jetons sans secret client, reposent sur une délégation au navigateur dans des frameworks comme Flutter via des paquets tels que flutterwebauth_2. Logto, plateforme d’identité open source alternative à Auth0, intègre des connecteurs sociaux comme Google, mais impose apparemment une étape de création de mot de passe pour les nouveaux comptes, ce qui bloque le retour automatique à l’application. Ce dysfonctionnement illustre les pièges des implémentations OAuth hybrides sur Android, où les deep links doivent être déclarés précisément dans le fichier AndroidManifest.xml pour intercepter les redirections post-authentification. Kibet attend des retours communautaires pour ajuster la configuration de Logto. Des cas similaires sont recensés sur des forums comme Stack Overflow avec d’autres fournisseurs d’identité, soulignant les défis récurrents dans l’intégration sécurisée des services d’authentification mobiles.