Dans cette carte de référence, nous revenons sur les principes de sécurisation. Nous expliquons quels protocols utiliser et quels protocoles ne pas utiliser. Nous revenons sur les “flow” OAuth2 et sur leur contexte d’utilisation. Nous expliquons le principe du “scoping” qui est souvent mal utilisé, détaillons les principes du protocole OpenId Connect, de JWT et des claims. Enfin nous revenons sur les erreurs que nous avons souvent constaté sur le terrain concernant la sécurisation d’APIs.
Lorsque l’on souhaite mettre en oeuvre une API, on est rapidement confronté aux problématiques de sécurisation. Ce point constitue un enjeu majeur, dans la mesure où le principe Open API consiste à bâtir un « écosystème ouvert » via l’exposition de services utilisables par des tiers, sans avoir d’idée préconçue sur l’usage qui en sera fait.
La pierre angulaire étant le protocole OAuth2, qui est un framework d’autorisation et qui peut être étendu pour prendre en charge l’authentification via le protocole OpenID Connect. Ces protocoles simples sont bien éloignés des solutions complexes généralement utilisées par les entreprises (WS-Security, SAML2...).
Afin de faciliter et d’accélérer la mise en oeuvre, nous proposons de présenter nos convictions, issues de nos expériences autour des principes de sécurisation d’API.
