Comment ça fonctionne
SendAs.me s'intercale entre votre application et les fournisseurs d'email (Gmail, Office 365) pour permettre l'envoi depuis le compte de vos utilisateurs, sans que vous n'ayez jamais accès à leurs mots de passe.
Vue d'ensemble
Il y a deux flux distincts : l'autorisation (l'utilisateur connecte son compte une fois) et l'envoi (votre application envoie des emails en continu).
Flux d'envoi
Votre App ──SMTP──► SendAs.me ──OAuth API──► Gmail / Microsoft ──► Destinataire
Détail :
- Votre application se connecte à
smtp.sendas.me:587avec vos identifiants d'application - Elle envoie un email SMTP standard (avec l'adresse de l'utilisateur en
From:) - SendAs.me vérifie vos identifiants et identifie le compte OAuth correspondant à l'adresse
From: - SendAs.me délivre l'email via l'API officielle du fournisseur (Gmail API ou Microsoft Graph), avec le jeton d'accès de l'utilisateur
- L'email arrive chez le destinataire depuis la vraie adresse de l'utilisateur
┌──────────────────┐ SMTP:587 ┌─────────────────────┐
│ │ ─────────────────────► │ │
│ Votre │ (auth + message) │ SendAs.me │
│ Application │ │ │
│ │ │ Vérifie les │
│ From: │ │ credentials │
│ alice@gmail.com │ │ Sélectionne le │
│ │ │ bon compte OAuth │
└──────────────────┘ └──────────┬──────────┘
│
OAuth API │ (jeton d'alice)
│
┌───────────▼──────────┐
│ │
│ Gmail / Office 365 │
│ │
│ Envoie depuis │
│ alice@gmail.com │
└──────────────────────┘
Flux d'autorisation OAuth
L'utilisateur n'autorise qu'une seule fois. Ensuite, votre application envoie sans aucune nouvelle intervention de sa part.
Utilisateur ──► SendAs.me ──► Google / Microsoft ──► autorisation ──► jetons stockés par SendAs.me
Détail :
- Vous intégrez un lien "Connecter mon email" dans votre interface
- L'utilisateur clique et est redirigé vers la page d'autorisation de Google ou Microsoft
- Il se connecte et accepte de donner à SendAs.me la permission d'envoyer des emails en son nom
- Google ou Microsoft retourne un jeton d'accès et un jeton de rafraîchissement à SendAs.me
- SendAs.me stocke ces jetons chiffrés — ni vous ni votre application n'y avez accès
- L'utilisateur est redirigé vers votre application avec un statut de connexion réussie
┌───────────┐ Clic "Connecter ┌─────────────┐
│ │ mon email" │ │
│ Votre │ ────────────────────► │ SendAs.me │
│ Interface │ │ │
│ │ │ Génère une │
└───────────┘ │ URL OAuth │
└──────┬──────┘
│ Redirige vers
▼
┌──────────────────────┐
│ │
│ Page de consentement│
│ Google / Microsoft │
│ │
│ "Mon App souhaite │
│ envoyer des emails │
│ en votre nom" │
└──────────┬───────────┘
│ L'utilisateur accepte
▼
┌──────────────────────┐
│ SendAs.me │
│ Reçoit les jetons │
│ Les stocke chiffrés │
│ Notifie l'éditeur │
│ (webhook) │
└──────────────────────┘
Rafraîchissement automatique des jetons
Les jetons d'accès OAuth ont une durée de vie limitée (généralement 1 heure). SendAs.me les rafraîchit automatiquement avant chaque envoi, de façon transparente.
Vous n'avez rien à faire. Votre application envoie des emails — SendAs.me s'occupe de maintenir l'accès actif en coulisse.
Ce qui se passe côté sécurité
- Les jetons OAuth sont chiffrés au repos dans l'infrastructure SendAs.me. Ils ne sont jamais visibles en clair, ni par vous, ni par votre application.
- Votre application ne voit que vos identifiants SMTP (que vous avez générés). Elle n'a jamais accès aux jetons OAuth des utilisateurs.
- Si un utilisateur révoque l'accès depuis son compte Google ou Microsoft, SendAs.me le détecte et vous envoie un webhook
user.disconnected. Les envois pour ce compte échouent proprement jusqu'à ce qu'il reconnecte son compte.
Résumé des rôles
| Qui | Fait quoi |
|---|---|
| Votre application | Envoie des emails via SMTP à SendAs.me, comme elle le ferait vers n'importe quel serveur SMTP |
| L'utilisateur final | Autorise l'accès à son compte email une seule fois via un flux OAuth standard |
| SendAs.me | Reçoit les emails SMTP, gère les jetons OAuth, livre via les APIs officielles |
| Google / Microsoft | Délivre les emails depuis le vrai compte de l'utilisateur |