Authentification vs autorisation, BOLA, validation des entrées, rate limiting et CORS : l'essentiel de l'OWASP API Security pour concevoir une API qui ne fuite pas.
Comme à la banque : l'authentification vérifie qui vous êtes à l'entrée ; l'autorisation vérifie, coffre par coffre, ce qui vous appartient. Prouver son identité ne suffit pas.
Prouver son identité ne suffit pas : on vérifie le droit d'accès à CHAQUE ressource. Ici user 7 est bien authentifié, mais la commande 42 appartient à user 9 → refus 403. Oublier ce contrôle objet par objet, c'est le BOLA (Broken Object Level Authorization), faille n°1 de l'OWASP API Security.
Six questions pour vérifier que les réflexes de sécurité API sont bien acquis.