Sécuriser une API REST

Authentification vs autorisation, BOLA, validation des entrées, rate limiting et CORS : l'essentiel de l'OWASP API Security pour concevoir une API qui ne fuite pas.

Authentification vs autorisation

Comme à la banque : l'authentification vérifie qui vous êtes à l'entrée ; l'autorisation vérifie, coffre par coffre, ce qui vous appartient. Prouver son identité ne suffit pas.

Qui es-tu ? puis : ce coffre est-il le tien ?
🔐 DEUX CONTRÔLES DISTINCTS · identité, puis droits Appelant user 7 GET /orders/42 Authentification qui es-tu ? Autorisation ce coffre est-il le tien ? 200 OK 403 Forbidden oui non 🏦 BOLA · l'identité ne suffit pas, on vérifie le droit à CHAQUE accès user 7 authentifié ✔ Propriétaire ? commande 42 → user 9 demandé par user 7 403 accès refusé

Prouver son identité ne suffit pas : on vérifie le droit d'accès à CHAQUE ressource. Ici user 7 est bien authentifié, mais la commande 42 appartient à user 9 → refus 403. Oublier ce contrôle objet par objet, c'est le BOLA (Broken Object Level Authorization), faille n°1 de l'OWASP API Security.

🎯 Testez-vous

Six questions pour vérifier que les réflexes de sécurité API sont bien acquis.

Retour aux outils développeurs