Accueil > Développement informatique et DevOps > Conception, Architecture et Sécurité des APIs ReST
Formation #DEV212

Formation Conception, Architecture et Sécurité des APIs ReST

Durée : 4 jours

Code : DEV212


Prochaines dates programmées :

Du 16 au 19 Juil. 2024

Du 19 au 22 Nov. 2024

Fin d'Inscription :
Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.
Si vous avez un besoin URGENT et que vous souhaitez une date de formation plus proche que les sessions programmées (minimum 15 à 20 jours ouvrés à date de votre demande)

Objectifs

  • Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST
  • Découvrir et prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
  • Découvrir les menaces auxquelles s’exposent vos APIs
  • Savoir repérer les points faibles d’une API
  • Découvrir les vulnérabilités les plus fréquentes, savoir les corriger et développer de façon sécurisée
Programme
1/ Introduction aux APIs ReST
  • L’écosystème moderne
  • Roy Thomas FIELDING : Papa du ReST
  • Le modèle de maturité de Richardson ou l'heuristique de maturité du service Web
  • H.A.T.E.O.A.S., liaison de ressources et web sémantique
2/ Conventions et bonnes pratiques
  • Pragmatisme, idéologie et ReSTafarians
  • Les conventions
  • Les différentes approches de versioning
  • Tips, tricks et bonnes pratiques de conception et de développement Les “standards” ou presque
3/ La boîte à outils
  • Conception d’API ReST avec OpenAPI et Swagger
  • Debug et test avec Postman
  • Sandbox
  • JSON Generator
  • JSON Server
4/ Rappels sur la sécurité
  • Menaces et impacts potentiels
  • Les 4 principes de la sécurité informatique
  • Présentation de l’OWASP TOP 10
5/ Authentification et autorisation
  • Sécurité de l’authentification
  • Cookies are evil
  • CORS (CrossOrigin Resource Sharing)
  • CSRF (CrossSite Request Forgery)
  • Antifarming et ratelimiting (ou throttling)
  • Autorisation et gestion des permissions
  • Les différents niveaux de granularité des mécanismes de gestion de permissions
  • Contrôle d'accès basé sur les rôles vs. contrôle d'accès basé sur les ressources
  • OAuth2
  • OpenID Connect
6/ Autres vulnérabilités
  • Canonicalisation, évasion et assainissement
  • Données d'injection ou empoisonnement du cache ReDoS
7/ J.W.T.
  • Rappels sur la cryptographie
  • J.O.S.E.
  • J.W.T. : fonctionnement, risques associés et bonnes pratiques
  • Vulnérabilités J.W.T.
8/ API Management
  • Intérêts et fonctionnalités des solutions d’API Management
  • Apigee
  • Kong
Approche Pédagogique

Approche Pédagogique

  • Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
  • Cas pratiques
  • Remise d’outils
  • Echanges d’expériences
Public Cible

Personnes Visées

  • Chefs de projets
  • Développeurs
Dates

Dates

  • Du 16 au 19 Juil. 2024
  • Du 19 au 22 Nov. 2024
  • Fin d'Inscription :
    Le Bulletin d'Inscription doit être rempli, cacheté, signé et envoyé par email : Au minimum 15 JOURS OUVRÉS avant la date de formation.