La sécurité est au cœur de la conception des API : une mauvaise gestion des accès ou des données peut avoir des impacts majeurs.

Ce chapitre présente les bonnes pratiques pour protéger vos API, gérer les authentifications, sécuriser les échanges et limiter les risques d’exploitation.

- Règles SEC -

SEC‑01 : A minima, l’identification DOIT être implémentée.

SEC‑02 : L’authentification OAuth DEVRAIT être mise en œuvre.

SEC‑03 : Le jeton ou la clef DOIT être validé à chaque requête.

SEC‑04 : Le mécanisme de TLS mutuel PEUT être cumulé avec d’autres méthodes d’authentification.

SEC‑05 : Les identifiants DOIVENT être différents entre les environnements.

SEC‑06 : Les services API DOIVENT être exposés via un canal sécurisé.

SEC‑07 : Chaque appel API DOIT être enregistré.

SEC‑08 : L’identifiant de transaction ou d’appel unique DEVRAIT être enregistré.

SEC‑09 : Les identifiants DOIVENT être envoyés dans les en-têtes.

SEC‑10 : Les informations d’identification NE DOIVENT PAS être dans l’URL ou le corps de la requête.

SEC‑11 : Les en-têtes contenant des informations d’identification NE DOIVENT PAS être enregistrés.

SEC‑12 : Le flux d’autorisation IMPLICIT d’OAuth NE DOIT PAS être utilisé.

SEC‑13 : Les détails techniques et les traces de pile NE DOIVENT PAS être renvoyés.

SEC‑14 : Les en-têtes de réponse NE DOIVENT PAS contenir de détails techniques.

SEC‑15 : Les tableaux dans le corps de réponse JSON DOIVENT être inclus dans un objet.

SEC‑16 : Des identifiants obscurcis DOIVENT être utilisés.

- Pour aller plus loin -

RFC 5246 (SEC-07) : https://tools.ietf.org/html/rfc5246

RFC 6749 (SEC-09) : https://tools.ietf.org/html/rfc6749

APItime#2 : IA & Sécurité des API