Ce que c’est…
https://app.pluralsight.com/library/courses/designing-restful-web-apis/table-of-contents
https://dzone.com/articles/top-10-api-security-threats-every-api-team-should
Attaques
- https://www.lemondeinformatique.fr/actualites/lire-les-api-cible-des-tentatives-d-authentification-dans-les-services-financiers-78174.html
- https://threatpost.com/akamai-on-credential-stuffing-attacks/153654/
Selon l’OWASP (et JDN)
- Vérifier les autorisations au niveau de chaque objet
- Soigner l’authentification utilisateur
- Sélectionner les données à afficher
- Limiter les ressources et le débit
- Modérer la granularité des accès
- Eviter les affectations de masse
- Vérifier la configuration de la sécurité
- Anticiper les injections de code
- Bien gérer et inventorier ses actifs
- Mettre en place une gestion des logs efficace
REST ou RESTful ?
Selon ChatGPT, les termes « API REST » et « RESTful » sont souvent utilisés de manière interchangeable, mais il y a une différence subtile entre les deux.
Une API REST (Representational State Transfer) est une interface de programmation d’application qui suit les principes de l’architecture REST. Elle utilise des méthodes HTTP telles que GET, POST, PUT et DELETE pour effectuer des opérations sur des ressources identifiées par des URL.
D’un autre côté, « RESTful » est un terme utilisé pour décrire une API qui est conçue conformément aux principes de REST, qui incluent notamment l’utilisation de verbes HTTP, l’utilisation d’URLs pour identifier les ressources, l’utilisation de formats de données standardisés (tels que JSON ou XML), et l’indépendance de l’état du serveur.
En résumé, une API REST est une API qui suit l’architecture REST, tandis qu’une API RESTful est une API qui suit les principes de REST de manière stricte et cohérente.
Ressources
- https://auth0.com/blog/securing-aws-http-apis-with-jwt-authorizers/
- 10 points de contrôle pour vérifier la sécurité de ses API (journaldunet.com)
A voir : problématiques de sécurisation d’API OIDC, OAuth2
- https://api-by-octo.octo.com/
- https://blog.octo.com/designer-une-api-rest/
- https://www.octo.com/publications/29-api-security-principles/
- https://www.securityweek.com/grammatech-releases-open-source-api-security-tool
- Rapid API Creation with AWS Amplify
- https://dzone.com/articles/api-authentication-methods-an-overview
- https://developer.okta.com/blog/2020/12/17/build-and-secure-an-api-in-python-with-fastapi