REST API, conception, architecture et sécurité PARTICIPANTS

Développeurs Web Front-end et

Back-end, architectes.
Cours Pratique de 3 jours - 21h PRÉREQUIS
Réf : REH - Prix 2025 : 2 120 HT Connaissances HTTP ainsi que des
connaissances en développement
web : JavaScript/HTML.

COMPÉTENCES DU
FORMATEUR
Les services web conformes au style d'architecture REST établissent une interopérabilité Les experts qui animent la
entre les ordinateurs sur Internet. formation sont des spécialistes des
Vous pourrez découvrir les bonnes pratiques de conception, de développement, les outils matières abordées. Ils ont été
validés par nos équipes
associés ainsi que les vulnérabilités les plus communes et les meilleurs moyens de s’en pédagogiques tant sur le plan des
prémunir. connaissances métiers que sur
celui de la pédagogie, et ce pour
chaque cours qu’ils enseignent. Ils
ont au minimum cinq à dix années
d’expérience dans leur domaine et
OBJECTIFS PÉDAGOGIQUES occupent ou ont occupé des postes
À l’issue de la formation l'apprenant sera en mesure de : à responsabilité en entreprise.

Prendre en main les outils qui vous accompagneront de la conception au déploiement et la MODALITÉS D’ÉVALUATION
supervision de vos APIs Le formateur évalue la progression
pédagogique du participant tout au
long de la formation au moyen de
Appréhender les menaces auxquelles s’exposent vos API QCM, mises en situation, travaux
pratiques…
Identifier les vulnérabilités les plus fréquentes Le participant complète également
un test de positionnement en amont
Repérer les points faibles d’une API puis la protéger et en aval pour valider les
compétences acquises.
Maitriser les bonnes pratiques de conception, de développement et d’architecture des APIs
ReST MOYENS PÉDAGOGIQUES
ET TECHNIQUES
• Les moyens pédagogiques et les
méthodes d’enseignement utilisés
sont principalement : aides
audiovisuelles, documentation et
LE PROGRAMME support de cours, exercices
pratiques d’application et corrigés
dernière mise à jour : 01/2024 des exercices pour les stages
pratiques, études de cas ou
présentation de cas réels pour les
séminaires de formation.
• À l’issue de chaque stage ou
1) Introduction aux APIs ReST séminaire, ORSYS fournit aux
participants un questionnaire
- Architectures n-tiers, applications et API s. d’évaluation du cours qui est
ensuite analysé par nos équipes
- Les différences essentielles entre une API REST et une API SOA. pédagogiques.
- H.A.T.E.O.A.S. Gestion des ressources et liens hypermedia. • Une feuille d’émargement par
demi-journée de présence est
Travaux pratiques : Conception d’une API flexible, scalable, résiliente et performante. fournie en fin de formation ainsi
qu’une attestation de fin de
formation si le stagiaire a bien
2) Bonnes pratiques assisté à la totalité de la session.
- Conventions et bonnes pratiques.
MODALITÉS ET DÉLAIS
- Techniques et Stratégies de Versioning. D’ACCÈS
L’inscription doit être finalisée 24
- Bonnes approches de conception et de développement. heures avant le début de la
Travaux pratiques : Définition et conception d’une API ReST. formation.

ACCESSIBILITÉ AUX
3) La boîte à outils PERSONNES HANDICAPÉES
Pour toute question ou besoin relatif
- API Mock. à l’accessibilité, vous pouvez
- Conception d’APIs ReST avec OpenAPI et Swagger. joindre notre équipe PSH par e-mail
à l'adresse [email protected].
- Utilisation de Postman ou Insomnia.
- Environnement de test et outils (JSON Generator. JSON Server).
Travaux pratiques : Spécification d’une API ReST avec Swagger. Implémentation et test d’une
API ReST.

4) Rappels sur la sécurité

- Les grands principes de la sécurité informatique. Menaces et impacts potentiels.
- Spécificités des APIs : Farming et Throttling.
- BFA et IA : les nouvelles menaces.
- Les différentes injections (XSS, BSI, XSRF, RFI, XPi,…).
- Exposition de données sensibles. Sécurisation des accès.

ORSYS - https://www.orsysformation.ch/fr/ - [email protected] - +41 (0)78 319 46 24 Page 1 / 2

- Désérialisation non sécurisée. Composants vulnérables.
- Logging et monitoring.
- Présentation de l'OWASP TOP 10.
- Découvrir le Pentesting.
- Introduction à Restler-Fuzzer.
Travaux pratiques : Présentation de quelques solutions de sécurisation de sites web.

5) Authentification et autorisation
- Sécurité de l’authentification.
- Système de logging.
- Sécurité côté serveur.
- CORS (Cross-Origin Resource Sharing) et CSRF (Cross-Site Request Forgery).
- Canonicalization, Escaping et Sanitization.
- Gestion des permissions : Role-Based Acces vs. Resource-based access.
- Authentification avec OAuth2 et OpenID Connect : vocabulaire et workflow.
Travaux pratiques : Recherche et exploitation de vulnérabilités d’authentification et
d’autorisation.

6) Middleware et JWT (JSON Web Token)

- Rappels sur la cryptographie.
- Les grands principes de JWT.
- Risques et vulnérabilités intrinsèques.
Travaux pratiques : Challenge sur une API non sécurisée.

7) Les Tests d’API

- Les 10 domaines de tests d’une API.
- Avantages et limites des tests d’API one shot.
- Construire une API Testable by design.
- Les tests de durcissement.
- Les exigences en tests de conformité d’API.
- Les pratiques éprouvées pour réduire les coûts des tests.
Travaux pratiques : Tests d’une API avec Postman, création d’un scénario de test Data
Driven, et intégration CLI dans Newman.

8) API Management
- Les avantages des solutions d’API Management.
- Gravitee : APIm opensource moderne et efficace.
- API Access Management, API Design, API Management, API Deployment et API
Observability.
Travaux pratiques : Utiliser une solution d’API Management pour déployer une API.

LES DATES

CLASSE À DISTANCE
2025 : 23 juil., 01 oct., 15 déc.

ORSYS - https://www.orsysformation.ch/fr/ - [email protected] - +41 (0)78 319 46 24 Page 2 / 2