APIs ReST Conception, Architecture et Sécurité

Introduction aux APIs ReST

L’écosystème moderne

Roy Thomas FIELDING : Papa du ReST

Richardson’s maturity model or Web Service Maturity Heuristic

H.A.T.E.O.A.S., Resource Linking & Semantic Web

Conventions & Bonnes Pratiques

Pragmatisme, idéologie et ReSTafarians

Les conventions

Les différentes approches de versioning

Tips, tricks et bonnes pratiques de conception et de développement

Les “standards” ou presque

Travaux Pratiques

• Définition et conception d’une API ReST

La Boîte à Outils

Conception d’API ReST avec OpenAPI & Swagger

Debug et testing avec Postman

Sandbox

JSON Generator

JSON Server

Travaux Pratiques

• Spécification d’une API ReST avec Swagger
• Testing d’une API ReST avec Postman
• BONUS : Implémentation d’une API ReST

Rappels sur la Sécurité

Menaces et impacts potentiels

Les 4 principes de la sécurité informatique

Présentation de l’OWASP TOP 10

Authentification et Autorisation

Sécurité de l’authentification

Cookies are evil

CORS (CrossOrigin Resource Sharing)

CSRF (CrossSite Request Forgery)

Antifarming et ratelimiting (ou throttling)

Autorisation et gestion des permissions

Les différents niveaux de granularité des mécanismes de gestion de permissions

RoleBased Access Control vs. ResourceBased Access Control

OAuth2

OpenID Connect

Travaux Pratiques

• Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep

Autres vulnérabilités

Canonicalization, Escaping et Sanitization

Injection

Data or Cache Poisoning

ReDoS

Travaux Pratiques

• Recherche et exploitation de vulnérabilités avec Websheep

J.W.T.

Rappels sur la cryptographie

J.O.S.E.

J.W.T. : Fonctionnement, risques associés et bonnes pratiques

Vulnérabilités J.W.T.

Travaux Pratiques

• Recherche et exploitation de vulnérabilités avec Websheep

API Management

Intérêts et fonctionnalités des solutions d’API Management

Apigee

Kong