APIs ReST Conception, Architecture et Sécurité — APIs ReST Conception, Architecture et Sécurité
Prochaines sessions (Boulogne-Billancourt / Paris / classe virtuelle)
Programme
Introduction aux APIs ReST
L’écosystème moderne
Roy Thomas FIELDING : Papa du ReST
Richardson’s maturity model or Web Service Maturity Heuristic
H.A.T.E.O.A.S., Resource Linking & Semantic Web
Conventions & Bonnes Pratiques
Pragmatisme, idéologie et ReSTafarians
Les conventions
Les différentes approches de versioning
Tips, tricks et bonnes pratiques de conception et de développement
Les “standards” ou presque
Travaux Pratiques
- Définition et conception d’une API ReST
La Boîte à Outils
Conception d’API ReST avec OpenAPI & Swagger
Debug et testing avec Postman
Sandbox
JSON Generator
JSON Server
Travaux Pratiques
- Spécification d’une API ReST avec Swagger
- Testing d’une API ReST avec Postman
- BONUS : Implémentation d’une API ReST
Rappels sur la Sécurité
Menaces et impacts potentiels
Les 4 principes de la sécurité informatique
Présentation de l’OWASP TOP 10
Authentification et Autorisation
Sécurité de l’authentification
Cookies are evil
CORS (CrossOrigin Resource Sharing)
CSRF (CrossSite Request Forgery)
Antifarming et ratelimiting (ou throttling)
Autorisation et gestion des permissions
Les différents niveaux de granularité des mécanismes de gestion de permissions
RoleBased Access Control vs. ResourceBased Access Control
OAuth2
OpenID Connect
Travaux Pratiques
- Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep
Autres vulnérabilités
Canonicalization, Escaping et Sanitization
Injection
Data or Cache Poisoning
ReDoS
Travaux Pratiques
- Recherche et exploitation de vulnérabilités avec Websheep
J.W.T.
Rappels sur la cryptographie
J.O.S.E.
J.W.T. : Fonctionnement, risques associés et bonnes pratiques
Vulnérabilités J.W.T.
Travaux Pratiques
- Recherche et exploitation de vulnérabilités avec Websheep
API Management
Intérêts et fonctionnalités des solutions d’API Management
Apigee
Kong
Profils des intervenants
Modalités d'évaluation
Attestation de formation remise à chaque participant.
Démarche qualité
Moyens pédagogiques
Espace de pause.