REST API - Bonnes pratiques et sécurité

Jour 1

Introduction aux API

• Evolution des applications et concept d'API
• REST vs SOAP
• Requêter vers une API

Conventions et bonnes pratiques

• Les conventions d'API
• Bonnes pratiques de développement
• Design Patterns

Exemple de travaux pratiques (à titre indicatif)

• Création d'une API météo

Les outils

• OpenAPI
• Swagger
• Postman
• Sandboxing
• JSON Generator / JSON Server

Exemples de travaux pratiques (à titre indicatif)

• Test et validation d'implémentation d'une API

Jour 2

Rappels sur la sécurité

• Les menaces
• Les grands principes de la sécurité informatique
• Le top 10 de l'OWASP
• Evolution des problématiques de sécurité liées aux API

La sécurité Web appliquée aux API

• Problématiques d'authentification
• Manipulation d'identifiants et d'autorisations d'objets
• Déni de service et consommation de ressources
• Exploitation des "business flows"
• SSRF (Server Side Request Forgery)
• Mauvaise configuration de sécurité
• Mauvaise gestion d'inventaire
• Problématiques de confiance des API tierces
• Bonnes pratiques de développement

Exemples de travaux pratiques (à titre indicatif)

• Etude et audit d'une API vulnérable

Jour 3

Authentification et autorisation

• Authentification avec OAuth2 et OpenID Connect
• Sécurité côté serveur
• Gestion des permissions et des rôles
• Journalisation et supervision

Middleware et JWT (JSON Web Token)

• Rappels sur la cryptographie
• Principes JWT
• Risques et vulnérabilités intrinsèques

Exemples de travaux pratiques (à titre indicatif)

• Conception et création d'une API sécurisée

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation