Refcard API Security Principles

Description.

Lorsque l’on souhaite mettre en oeuvre une API, on est rapidement confronté aux problématiques de sécurisation. Ce point constitue un enjeu majeur, dans la mesure où le principe Open API consiste à bâtir un « écosystème ouvert » via l’exposition de services utilisables par des tiers, sans avoir d’idée préconçue sur l’usage qui en sera fait.

 

La pierre angulaire étant le protocole OAuth2, qui est un framework d’autorisation et qui peut être étendu pour prendre en charge l’authentification via le protocole OpenID Connect. Ces protocoles simples sont bien éloignés des solutions complexes généralement utilisées par les entreprises (WS-Security, SAML2...).

 

En bref.

Dans cette refcard, nous revenons sur les principes de sécurisation. Nous expliquons quels protocols utiliser et quels protocoles ne pas utiliser. Nous revenons sur les “flow” OAuth2 et leur contexte d’utilisation. Nous expliquons le principe du “scoping” qui est souvent mal utilisé, détaillons les principes du protocole OpenId Connect, de JWT et des claims. Enfin nous revenons sur les erreurs que nous avons souvent constaté sur le terrain concernant la sécurisation d’APIs.

Refcard_API_Security_OPEN

Au menu


  • Pourquoi une stratégie d’API ?

  • Quel protocole de sécurité choisir ?

  • OIDC/OAuth2 Flows

  • Principes du scoping
  • OpenID Connect, JWT, claims
  • Les pièges à éviter

Nous vous présentons nos convictions, issues de nos propres expériences, en matière de sécurisation d'API.

Télécharger la Refcard (PDF en anglais)