Chapitre 7. Authentification et autorisation de l'API
Dans le chapitre précédent, tu as appris à modéliser les menaces des systèmes basés sur des API et tu as découvert le Top 10 de la sécurité des API de l'OWASP. L'API des participants est prête à recevoir du trafic du monde extérieur ; cependant, comment le consommateur de l'API est-il exactement identifié ? Dans ce chapitre, nous allons explorer l'authentification et l'autorisation pour les API. L'authentification nous indique qui est la personne qui appelle et l'autorisation nous indique ce qu'elle a le droit de faire.
Nous commencerons par mettre en évidence ce que sont l'authentification et l'autorisation pour les API, ce qui nous amènera à parler de l'importance de la sécurisation des API et des limites potentielles liées à l'utilisation de clés et de jetons d'API. OAuth2 est un cadre d'autorisation basé sur des jetons introduit en 2012 et qui est rapidement devenu la norme de l'industrie pour sécuriser les API et déterminer les actions qu'une application peut effectuer par rapport à une API. Une grande partie de ce chapitre sera consacrée à OAuth2 et à la gamme d'approches de sécurité proposées à la fois pour les utilisateurs finaux et les interactions basées sur le système. Les consommateurs d'API auront parfois besoin de connaître les détails de l'utilisateur au nom duquel ils agissent - ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access