Octo refcard api security bd

API Security Principles

La Refcard

Lorsque l’on souhaite mettre en oeuvre une API, on est rapidement confronté aux problématiques de sécurisation. Ce point constitue un enjeu majeur, dans la mesure où le principe Open API consiste à bâtir un « écosystème ouvert » via l’exposition de services utilisables par des tiers, sans avoir d’idée préconçue sur l’usage qui en sera fait. En outre, l’emploi de REST et du Web impacte la manière de sécuriser vos services, y compris pour une utilisation de l’API en interne.


Description de l'ouvrage

Rendre vos API disponibles sur le Web ne signifie pas qu’elles sont en accès libre, de manière non sécurisée. Il existe des protocoles Web standardisés fiables et sécurisés en profondeur pour gérer l’authentification et l’habilitation des applications appelantes et des utilisateurs connectées à ces applications. La pierre angulaire étant le protocole OAuth2, qui est un framework d’autorisation et qui peut être étendu pour prendre en charge l’authentification via le protocole OpenID Connect. Ces protocoles simples sont bien éloignés des solutions complexes généralement utilisées par les entreprises (WS-Security, SAML2...).

Afin de faciliter et d’accélérer la mise en oeuvre, nous proposons de présenter nos convictions, issues de nos expériences autour des principes de sécurisation d’API.

Dans cette carte de référence, nous revenons sur les principes de sécurisation. Nous expliquons quels protocols utiliser et quels protocoles ne pas utiliser. Nous revenons sur les “flow” OAuth2 et sur leur contexte d’utilisation. Nous expliquons le principe du “scoping” qui est souvent mal utilisé, détaillons les principes du protocole OpenId Connect, de JWT et des claims. Enfin nous revenons sur les erreurs que nous avons souvent constaté sur le terrain concernant la sécurisation d’APIs.


Pour aller plus loin sur le sujet :

A propos de l'auteur

Octo refcard api security bd

OCTO Technology est un cabinet de conseil et de réalisation

Depuis 1998, nous aidons nos clients à construire des Systèmes d'Information et des applications qui transforment leurs entreprises en agissant sur 3 axes :

  • la technologie
  • la méthodologie
  • la compréhension des enjeux métier

Depuis la création, la croissance du cabinet a été continue et maîtrisée afin de garantir la montée en compétences des consultants que nous intégrons. Pour nous donner les moyens de nos ambitions, nous nous sommes introduits en bourse sur Alternext en 2006.

OCTO est aujourd'hui un groupe international de plus de 400 collaborateurs, dans 4 filiales : France, Suisse, Maroc, Australie.