SF33626
3 jours
En présentiel ou distanciel
- 21 heures de formation
- Exercices pratiques
- Prise en charge OPCO possible
Un renseignement ?
Contactez-nous !- En entreprise ou à distance
- Cadrage pédagogique gratuit
- Programme de formation sur mesure
- Formateur expert dédié
- Prise en charge OPCO possible
Formation API REST : concevoir, sécuriser et industrialiser ses API.
Maîtrisez le cycle complet d'une API REST de qualité production : de la conception design-first à la défense contre les attaques de l'OWASP API Security Top 10.
Les API REST sont devenues la colonne vertébrale des systèmes d'information modernes — et leur première surface d'exposition aux attaques. Cette formation de 3 jours couvre l'ensemble du cycle de vie : concevoir une API claire et versionnée selon les conventions du métier, la spécifier en design-first avec OpenAPI, puis la sécuriser face aux menaces réelles répertoriées par l'OWASP API Security Top 10 (authentification, autorisations BOLA, JWT, injections). Chaque notion est mise en pratique sur une API fil rouge, conçue puis attaquée et durcie au fil des exercices. La formation va jusqu'à l'industrialisation : tests automatisés (Postman/Newman) et exposition via une passerelle d'API Management. À l'issue, les participants disposent d'une méthode complète et outillée, directement applicable quel que soit leur langage serveur.
Programme de formation API REST : concevoir, sécuriser et industrialiser ses API.
Architecture REST et anatomie d’une API de qualité
– Style REST : principes (ressources, représentations, sans état) et place dans une architecture n-tiers
– Verbes HTTP et codes de statut : sémantique correcte et erreurs courantes à éviter
– Niveaux de maturité (Richardson) et HATEOAS : repères pour situer une API, sans dogmatisme
– REST face aux alternatives : positionnement vis-à-vis de SOAP (legacy) et aperçu de GraphQL/gRPC
– Critères d’une « bonne » API : lisibilité, prévisibilité, évolutivité
**Exemples d’activités pratiques :**
– Lecture critique d’une API publique : repérer les bons et mauvais choix de conception
– Cartographie des ressources et des endpoints d’un cas métier
Conventions de conception et stratégies de versioning
– Nommage des ressources et structuration des URI : conventions partagées du métier
– Pagination, filtrage, tri : patterns standards pour les collections volumineuses
– Gestion des erreurs : formats normalisés (problem+json) et messages exploitables côté client
– Stratégies de versioning : URI, en-tête, media-type — arbitrages et impacts
– Idempotence et cohérence : fiabiliser les écritures et les rejeux
**Exemples d’activités pratiques :**
– Conception complète du contrat d’une API REST sur un cas métier
– Revue par les pairs des choix de versioning et de gestion d’erreurs
Spécification design-first avec OpenAPI
– Approche design-first : spécifier avant de coder pour aligner équipes et consommateurs
– OpenAPI 3.x : structure d’un contrat, schémas, paramètres, réponses
– Swagger et outillage : génération de documentation et de mocks
– Mocks et environnements de test : JSON Server, sandbox, données simulées
– Postman / Insomnia : explorer, requêter et documenter une API
**Exemples d’activités pratiques :**
– Rédaction d’un contrat OpenAPI complet et génération de la documentation
– Mise en place d’un mock server pour tester sans back-end
Fondamentaux de sécurité et OWASP API Security Top 10
– Surface d’attaque d’une API : en quoi elle diffère d’une application web classique
– Principes de sécurité : confidentialité, intégrité, disponibilité, traçabilité
– OWASP API Security Top 10 (2023) : panorama des risques majeurs et exemples concrets
– Abus de ressources et déni de service : throttling, rate-limiting, quotas
– Menaces automatisées : force brute, scraping et outillage offensif (cadrage concret)
**Exemples d’activités pratiques :**
– Analyse de risques d’une API existante au regard de l’OWASP API Security Top 10
– Mise en place d’une stratégie de rate-limiting sur un endpoint sensible
Authentification et autorisation
– Authentification vs autorisation : distinguer les deux et leurs pièges
– OAuth2 : flows (authorization code, client credentials) et cas d’usage
– OpenID Connect : authentification déléguée et jetons d’identité
– Contrôle d’accès : RBAC vs ABAC / Resource-Based Access Control
– Failles d’autorisation : BOLA et accès non maîtrisé aux objets (risque n°1 de l’OWASP API)
– CORS et CSRF : comportements, bonnes configurations et erreurs fréquentes
**Exemples d’activités pratiques :**
– Mise en œuvre d’un flow OAuth2 / OpenID Connect sur l’API fil rouge
– Recherche et exploitation d’une faille d’autorisation (type BOLA) sur une API volontairement faillible
Jetons JWT et cryptographie appliquée
– Rappels de cryptographie : signature, chiffrement, gestion des clés
– JOSE et structure d’un JWT : en-tête, payload, signature
– Vulnérabilités JWT : alg=none, confusion d’algorithme, clés faibles, fuite de jeton
– Bonnes pratiques : durée de vie, rotation, stockage et révocation des jetons
**Exemples d’activités pratiques :**
– Mise en place d’une authentification par JWT
– Exploitation puis correction d’une vulnérabilité JWT classique
Autres vulnérabilités et tests d’API automatisés
– Injections et désérialisation : vecteurs côté API et parades
– Cache poisoning, SSRF, ReDoS : mécanismes et mesures préventives
– Tests d’API : domaines à couvrir et conception d’une API « testable by design »
– Automatisation : scénarios de test avec Postman, exécution en CLI avec Newman
– Intégration continue : intégrer les tests d’API au pipeline pour prévenir les régressions
**Exemples d’activités pratiques :**
– Construction d’une suite de tests data-driven et exécution via Newman
– Audit d’une API faillible : identifier, exploiter puis corriger les vulnérabilités
Exposition et exploitation via l’API Management
– Rôle d’une passerelle d’API Management : sécurité, quotas, observabilité
– Plans, clés d’API et politiques : gérer l’accès des consommateurs
– Observabilité : journalisation, métriques et supervision d’une API en production
– Déploiement et cycle de vie : exposer, publier et faire évoluer une API
– Panorama des solutions : Kong, Gravitee et équivalents (au choix du formateur)
**Exemples d’activités pratiques :**
– Exposition de l’API fil rouge derrière une passerelle d’API Management
– Configuration de quotas, de clés d’API et de tableaux de bord d’observabilité
Nos autres formations en Développement Back-End .
Formation API REST : concevoir, sécuriser et industrialiser ses API
Formation C#
Formation Go
Formation IIS : administration sous Windows Server
Formation Java
Formation JavaScript – certification en option
A travers sa Charte Engagement Qualité, Sparks s’engage à tout mettre en œuvre pour que chaque session de formation soit un succès et que votre satisfaction soit totale.
