REST API, bonnes pratiques et sécurité
Besoin d’adapter cette formation à vos besoins ?
N’hésitez pas à nous contacter afin d’obtenir un devis sur mesure !
Formation créée le 21/11/2022. Dernière mise à jour le 23/12/2022.
Version du programme : 1
Programme de la formation
Les services web conformes au style d'architecture REST établissent une interopérabilité entre les ordinateurs sur Internet. Vous pourrez découvrir les bonnes pratiques de conception, de développement, les outils associés ainsi que les vulnérabilités les plus communes et les meilleurs moyens de s’en prémunir.
Objectifs de la formation
- Prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
- Découvrir les menaces auxquelles s’exposent vos API
- Découvrir les vulnérabilités les plus fréquentes
- Savoir repérer les points faibles d’une API puis la protéger
- Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST
Profil des bénéficiaires
Pour qui
- Développeurs Web Front-end et Back-end, architectes, chefs de projet techniques.
Prérequis
- Connaissances HTTP, bonne culture Web. Idéalement quelques connaissances en développement Web : JavaScript/HTML.
Contenu de la formation
-
Introduction aux APIs ReST
- L’écosystème moderne.
- Roy Thomas FIELDING : père du ReST.
- Richardson’s maturity model ou Web Service Maturity Heuristic.
- H.A.T.E.O.A.S., Resource Linking and Semantic Web.
-
Conventions et bonnes pratiques
- Pragmatisme, idéologie et ReSTafarians.
- Les conventions.
- Les différentes approches de versioning.
- Tips, tricks et bonnes pratiques de conception et de développement.
- Les “standards” ou presque.
-
La boîte à outils
- Conception d’APIs ReST avec OpenAPI et Swagger.
- Debug et testing avec Postman.
- Sandbox. JSON Generator. JSON Server.
-
Rappels sur la sécurité
- Menaces et impacts potentiels.
- Les 4 principes de la sécurité informatique.
- Présentation de l'OWASP TOP 10.
-
Authentification et autorisation
- Sécurité de l’authentification. Cookies are evil.
- CORS et CSRF. Anti-farming et rate-limiting (ou throttling).
- Autorisation et gestion des permissions.
- Les différents niveaux de granularité des mécanismes de gestion de permissions.
- Role-Based Access Control versus Resource-Based Access Control.
- OAuth2 et OpenID Connect.
-
Autres vulnérabilités
- Canonicalization, Escaping et Sanitization.
- Injection (code, SQL, NoSQL, données...).
- Data ou cache Poisoning. ReDoS.
-
J.W.T.
- Rappels sur la cryptographie.
- J.O.S.E. : J.W.K., J.W.S., J.W.E et J.W.T.
- J.W.T. : fonctionnement, risques associés et bonnes pratiques. Vulnérabilités J.W.T.
-
API Management
- Intérêts et fonctionnalités des solutions d’API Management.
- API management dans le Cloud avec Apigee.
- API management On Premise avec Kong.
Équipe pédagogique
Nos formations sont animées par des experts reconnus dans leur domaine possédant une expérience sur le terrain significative et des compétences pédagogiques reconnues.
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence.
- Questions orales ou écrites (QCM).
- Mises en situation.
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
Ressources techniques et pédagogiques
- Accueil des apprenants dans une salle dédiée à la formation.
- Documents supports de formation projetés.
- Exposés théoriques
- Etude de cas concrets
- Quiz en salle
- Mise à disposition en ligne de documents supports à la suite de la formation.
Qualité et satisfaction
Merci de consulter notre site internet.
Délai d'accès
2 semaines
Accessibilité
Les personnes atteintes de handicap souhaitant suivre cette formation sont invitées à nous contacter directement, afin d’étudier ensemble les possibilités de suivre la formation.