Comment ça fonctionne
SendAs.me s'intercale entre votre application et les fournisseurs d'email (Gmail, Office 365) pour permettre l'envoi depuis le compte de vos utilisateurs, sans que vous n'ayez jamais accès à leurs mots de passe.
Vue d'ensemble
Il y a deux flux distincts : l'autorisation (l'utilisateur connecte son compte une fois) et l'envoi (votre application envoie des emails en continu).
Flux d'envoi
Votre App ──SMTP──► SendAs.me ──OAuth API──► Gmail / Microsoft ──► Destinataire
Détail :
- Votre application se connecte à
smtp.sendas.me:587avec vos identifiants d'application - Elle envoie un email SMTP standard (avec l'adresse de l'utilisateur en
From:) - SendAs.me vérifie vos identifiants et identifie le compte OAuth correspondant à l'adresse
From: - SendAs.me délivre l'email via l'API officielle du fournisseur (Gmail API ou Microsoft Graph), avec le jeton d'accès de l'utilisateur
- L'email arrive chez le destinataire depuis la vraie adresse de l'utilisateur
┌──────────────────┐ SMTP:587 ┌─────────────────────┐
│ │ ─────────────────────► │ │
│ Votre │ (auth + message) │ SendAs.me │
│ Application │ │ │
│ │ │ Vérifie les │
│ From: │ │ credentials │
│ alice@gmail.com │ │ Sélectionne le │
│ │ │ bon compte OAuth │
└──────────────────┘ └──────────┬──────────┘
│
OAuth API │ (jeton d'alice)
│
┌───────────▼──────────┐
│ │
│ Gmail / Office 365 │
│ │
│ Envoie depuis │
│ alice@gmail.com │
└──────────────────────┘
Flux d'autorisation OAuth
L'utilisateur n'autorise qu'une seule fois. Ensuite, votre application envoie sans aucune nouvelle intervention de sa part.
Utilisateur ──► SendAs.me ──► Google / Microsoft ──► autorisation ──► jetons stockés par SendAs.me
Détail :
- Vous intégrez un lien "Connecter mon email" dans votre interface
- L'utilisateur clique et est redirigé vers la page d'autorisation de Google ou Microsoft
- Il se connecte et accepte de donner à SendAs.me la permission d'envoyer des emails en son nom
- Google ou Microsoft retourne un jeton d'accès et un jeton de rafraîchissement à SendAs.me
- SendAs.me stocke ces jetons chiffrés — ni vous ni votre application n'y avez accès
- L'utilisateur est redirigé vers votre application avec un statut de connexion réussie
┌───────────┐ Clic "Connecter ┌─────────────┐
│ │ mon email" │ │
│ Votre │ ────────────────────► │ SendAs.me │
│ Interface │ │ │
│ │ │ Génère une │
└───────────┘ │ URL OAuth │
└──────┬──────┘
│ Redirige vers
▼
┌──────────────────────┐
│ │
│ Page de consentement│
│ Google / Microsoft │
│ │
│ "Mon App souhaite │
│ envoyer des emails │
│ en votre nom" │
└──────────┬───────────┘
│ L'utilisateur accepte
▼
┌──────────────────────┐
│ SendAs.me │
│ Reçoit les jetons │
│ Les stocke chiffrés │
│ Notifie l'éditeur │
│ (webhook) │
└──────────────────────┘
Rafraîchissement automatique des jetons
Les jetons d'accès OAuth ont une durée de vie limitée (généralement 1 heure). SendAs.me les rafraîchit automatiquement avant chaque envoi, de façon transparente.
Vous n'avez rien à faire. Votre application envoie des emails — SendAs.me s'occupe de maintenir l'accès actif en coulisse.
Ce qui se passe côté sécurité
- Les jetons OAuth sont chiffrés au repos dans l'infrastructure SendAs.me. Ils ne sont jamais visibles en clair, ni par vous, ni par votre application.
- Votre application ne voit que vos identifiants SMTP (que vous avez générés). Elle n'a jamais accès aux jetons OAuth des utilisateurs.
- Si un utilisateur révoque l'accès depuis son compte Google ou Microsoft, SendAs.me le détecte et vous envoie un webhook
oauth_expired. Les envois pour ce compte échouent proprement jusqu'à ce qu'il reconnecte son compte.
Résumé des rôles
| Qui | Fait quoi |
|---|---|
| Votre application | Envoie des emails via SMTP à SendAs.me, comme elle le ferait vers n'importe quel serveur SMTP |
| L'utilisateur final | Autorise l'accès à son compte email une seule fois via un flux OAuth standard |
| SendAs.me | Reçoit les emails SMTP, gère les jetons OAuth, livre via les APIs officielles |
| Google / Microsoft | Délivre les emails depuis le vrai compte de l'utilisateur |