SKIP TO CONTENT
The portal for lifelong-learning
LU
DE
EN
FR
PT
You are here: Home > Training courses > ORSYS Luxembourg

REST API - Bonnes pratiques et sécurité

3 day(s)

Objectives

Cette formation vous permettra de découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST, les outils associés ainsi que les vulnérabilités les plus communes et les meilleurs moyens de s’en prémunir.

Objectifs pédagogiques:
  • Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST
  • Prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
  • Découvrir les menaces auxquelles s’exposent vos API
  • Découvrir les vulnérabilités les plus fréquentes
  • Savoir repérer les points faibles d’une API puis la protéger

Content

Introduction aux APIs ReST
  • L’écosystème moderne.
  • Roy Thomas FIELDING: père du ReST.
  • Richardson’s maturity model ou Web Service Maturity Heuristic.
  • H.A.T.E.O.A.S., Resource Linking and Semantic Web.
  • Conventions et bonnes pratiques
  • Pragmatisme, idéologie et ReSTafarians.
  • Les conventions.
  • Les différentes approches de versioning.
  • Tips, tricks et bonnes pratiques de conception et de développement.
  • Les "standards" ou presque.

Travaux pratiques: Conception d’une API ReST.

La boîte à outils
  • Conception d’APIs ReST avec OpenAPI et Swagger.
  • Debug et testing avec Postman.
  • Sandbox. JSON Generator. JSON Server.

Travaux pratiques: Spécification d’une API ReST avec Swagger. Test d’une API ReST avec Postman. Implémentation d’une API ReST.

Rappels sur la sécurité:
  • Menaces et impacts potentiels.
  • Les 4 principes de la sécurité informatique.
  • Présentation de l'OWASP TOP 10.
  • Authentification et autorisation
  • Sécurité de l’authentification. Cookies are evil.
  • CORS et CSRF. Anti-farming et rate-limiting (ou throttling).
  • Autorisation et gestion des permissions.
  • Les différents niveaux de granularité des mécanismes de gestion de permissions.
  • Role-Based Access Control versus Resource-Based Access Control.
  • OAuth2 et OpenID Connect.

Travaux pratiques: Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep.

Autres vulnérabilités
  • Canonicalization, Escaping et Sanitization.
  • Injection (code, SQL, NoSQL, données...).
  • Data ou cache Poisoning. ReDoS.

Travaux pratiques: Recherche et exploitation de vulnérabilités avec Websheep.

J.W.T.
  • Rappels sur la cryptographie.
  • J.O.S.E.: J.W.K., J.W.S., J.W.E et J.W.T.
  • J.W.T.: fonctionnement, risques associés et bonnes pratiques. Vulnérabilités J.W.T.

Travaux pratiques: Recherche et exploitation de vulnérabilités avec Websheep.

API ManagementIntérêts et fonctionnalités des solutions d’API Management.

API management dans le Cloud avec Apigee.
API management On Premise avec Kong.

Target group

Who is the course aimed at?

Développeurs Web Front-end et Back-end, architectes, chefs de projet techniques.

 
Prerequisites

Connaissances HTTP, bonne culture Web. Idéalement quelques connaissances en développement Web: JavaScript/HTML.

Assessment

Certficate, diploma

Une attestation de présence sera envoyée aux participants après la formation.

Additional information

12 participants maximum - Ouverture garantie à partir de 3 personnes - Classe à distance possible

Vous recherchez une formation à titre individuel?
ORSYS accompagne également les particuliers pour tous leurs projets de formation ou de reconversion professionnelle.

Contact the training provider
Share this content

 



Responsibility for the content of this training description lies solely with its author, the training provider ORSYS Luxembourg.

Print Expand/Collapse all Send to a friend
Contact the training provider
Characteristics
Organisation Formation inter et intra-entreprise
Languages
Next sessions
From/To Location Price
19 - 21/12/22
  Online   2050.00 €
See details
Use of cookies

lifelong-learning.lu uses cookies to offer you a quality user experience, measure audiences, optimise functions on social media, and offer you personalised content.

By continuing to browse this website, you accept the use of cookies subject to the conditions provided for in our policy on the subject. Find out more.

Essential cookies
These cookies make it possible to use the main functions of our website (including access to your personal space). Normal use of our website is not possible unless these cookies are enabled.
Statistics
These cookies make it possible to compile statistics on visits to our website. Disabling them stops us monitoring and improving the quality of the services we provide.
Targeted advertising
These cookies make it possible to provide you with information via the Internet and the social media, with offers of training that match your needs.

Read our policy on the use of cookies.

Accept all Manage your cookie settings
Veuillez patienter...