Formation rest api, bonnes pratiques et sécurité

• Prendre en main les outils qui vous accompagneront de la conception au déploiement et la supervision de vos APIs
• Découvrir les menaces auxquelles s’exposent vos API
• Découvrir les vulnérabilités les plus fréquentes
• Savoir repérer les points faibles d’une API puis la protéger
• Découvrir les bonnes pratiques de conception, de développement et d’architecture des APIs ReST

• Connaissances HTTP, bonne culture Web. Idéalement quelques connaissances en développement Web : JavaScript/HTML.

Introduction aux APIs ReST

• L’écosystème moderne.
• Roy Thomas FIELDING : père du ReST.
• Richardson’s maturity model ou Web Service Maturity Heuristic.
• H.A.T.E.O.A.S., Resource Linking and Semantic Web.

Conventions et bonnes pratiques

• Pragmatisme, idéologie et ReSTafarians.
• Les conventions.
• Les différentes approches de versioning.
• Tips, tricks et bonnes pratiques de conception et de développement.
• Les “standards” ou presque.

Travaux pratiques

Conception d’une API ReST.

La boîte à outils

• Conception d’APIs ReST avec OpenAPI et Swagger.
• Debug et testing avec Postman.
• Sandbox. JSON Generator. JSON Server.

Travaux pratiques

Spécification d’une API ReST avec Swagger. Test d’une API ReST avec Postman. Implémentation d’une API ReST.

Rappels sur la sécurité

• Menaces et impacts potentiels.
• Les 4 principes de la sécurité informatique.
• Présentation de l'OWASP TOP 10.

Authentification et autorisation

• Sécurité de l’authentification. Cookies are evil.
• CORS et CSRF. Anti-farming et rate-limiting (ou throttling).
• Autorisation et gestion des permissions.
• Les différents niveaux de granularité des mécanismes de gestion de permissions.
• Role-Based Access Control versus Resource-Based Access Control.
• OAuth2 et OpenID Connect.

Travaux pratiques

Recherche et exploitation de vulnérabilités d’authentification et d’autorisation avec Websheep.

Autres vulnérabilités

• Canonicalization, Escaping et Sanitization.
• Injection (code, SQL, NoSQL, données...).
• Data ou cache Poisoning. ReDoS.

Travaux pratiques

Recherche et exploitation de vulnérabilités avec Websheep.

J.W.T.

• Rappels sur la cryptographie.
• J.O.S.E. : J.W.K., J.W.S., J.W.E et J.W.T.
• J.W.T. : fonctionnement, risques associés et bonnes pratiques. Vulnérabilités J.W.T.

Travaux pratiques

Recherche et exploitation de vulnérabilités avec Websheep.

API Management

• Intérêts et fonctionnalités des solutions d’API Management.
• API management dans le Cloud avec Apigee.
• API management On Premise avec Kong.

• Le délai d'accès moyent pour cette formation est de 2 Semaines
• Merci d’utiliser le formulaire de contact ou nous joindre par téléphone ou mail pour l’organisation de votre formation.

• Accueil des apprenants dans une salle dédiée à la formation.
• Documents supports de formation projetés.
• Exposés théoriques
• Etude de cas concrets
• Quiz en salle
• Mise à disposition en ligne de documents supports à la suite de la formation.

• Feuilles de présence.
• Questions orales ou écrites (QCM).
• Mises en situation.
• Formulaires d'évaluation de la formation.
• Certificat de réalisation de l’action de formation.

Pour suivre cette formation à distance vous aurez besoin

• D'un Mac ou d'un PC
• Une Connexion internet stable
• Un Navigateur Web récent
• De Teams ou de Zoom
• Du logiciel enseigné ou à utiliser installé
  
  

Dans nos locaux nous mettrons à votre disposition tout le nécessaire.

Dans vos locaux nous conviendrons du nécessaire à mettre en place pour le bon déroulé de cette formation.

Pour le suivi de l'exécution et d'évaluation vous serez accompagnés par notre équipe pédagogique et technique sous la supervision de Madame Michèle ELBAZ.

En amont de la formation, notre conseiller formation réalise avec vous un entretien permettant de déterminer vos attentes concernant la formation.

Les horaires et le rythme sont à votre convenance ou à convenir avec notre équipe pédagogique.

Si nécessaire, pendant la formation vous aurez des exercices pratiques et/ou mises en situation.

A la fin de la formation nous vous mettons à disposition en ligne des documents et supports. Vous aurez un certificat de réalisation de la formation.

Nous vous transmettrons un questionnaire de satisfaction à chaud en fin de formation, et à froid à 3 mois. 
Nous vous transmettrons un  questionnaire d’auto-évaluation en fin de formation) et/ou passage de la certification (en conditions d’examens ou en télésurveillance après la formation)

Pour toute formation certifiante, vous aurez à la plateforme de certification.