J'ai fait une grosse erreur de conception sur un projet sur lequel je bosse actuellement. Je partage donc dans le cas où certains bossent ou ont l'intention de bosser sur une application utilisant OAuth.

J'autorise deux modes d'authentification :

• client_credentials: c'est l'application qui s'authentifie avec son ID et sa clé secrète.
• authorization_code: un peu à la Twitter, c'est l'utilisateur qui autorise le service être attaché à son compte.

Je suis parti du principe que le client était unique, et lui aie rattaché un certain nombre de données utilisateurs. Sauf que dans le cas d'une authentification par authorization_code, tous les utilisateurs utilisant le même client se partagent l'identifiant du client (c'est logique, quand on y pense), et il n'est donc en aucun cas unique pour un utilisateur !

Bingo, revue du modèle de données et quelques jours de réécriture de code.