ReST APIs Bonnes Pratiques et Sécurité
Objectifs
- Découvrir les bonnes pratiques d’architecture et de design d’APIs ReSTful
- Identifier les menaces auxquelles s’exposent vos API
- Découvrir les vulnérabilités les plus fréquentes
- Repérer les points faibles d’une API
- Corriger les vulnérabilités et développer de façon sécurisée
Programme
API ReST et bonnes pratiques
L’écosystème moderne
Roy Thomas FIELDING : Papa du ReST
Richardson’s maturity model or Web Service Maturity Heuristic
H.A.T.E.O.A.S. & “Resource Linking”
Pragmatisme, idéologie et ReSTafarians
Tips, tricks et bonnes pratiques
- Nommage
- Base URL
- Media Type
- Versioning
- Propriété “id”
- Polymorphisme
- Datetime
- “Association Resource”
- Avis subjectif sur H.A.T.E.O.A.S. et le Semantic Web
- Pourquoi appliquer ces bonnes pratiques
Les “standards” ou presque
- JSON API
- A.L.
- JSON LD
- Les autres initiatives
- So what?
La boîte à outils
Sécurité des API ReST
Authentification et session management
- Sécurité de l’authentification.
- Session token.
- Cookies are evil.
- CORS & CSRF.
- Anti-farming and throttling.
Autorisation et gestion des permissions
- Bonnes pratiques de la gestion des permissions d’accès aux ressources.
- Gestion des permissions par propriété.
“Canonicalization”, “Escaping” et “Sanitization”
- Lequel choisir ?
- Les outils.
ReDoS
Injection
- Content-Type sniffing.
- Injection de code.
- Injection de données.
Cryptographie
- Sécurisation des échanges.
- Sécurisation du stockage.
- O.S.E. & J.W.T. : Fonctionnement, risques associés et bonnes pratiques.
Please login to get access to the quiz
Back to Développer des Webservices