Vous avez déjà un compte client ORSYS
Se connecter
Vous êtes nouveau chez ORSYS
Créer un compte
Vous ne souhaitez pas créer de compte
Poursuivre sans me connecter

Formación : API REST, diseño, arquitectura y seguridad

API REST, diseño, arquitectura y seguridad




Los servicios web conformes al estilo de arquitectura REST establecen la interoperabilidad entre ordenadores en Internet. Aprenderá las buenas prácticas de diseño y desarrollo y las herramientas asociadas, así como las vulnerabilidades más comunes y las mejores formas de protegerse contra ellas.


ABIERTA
IN-COMPANY
A MEDIDA

Formación en tus instalaciones, en nuestro centro o a distancia

Ref. REH
  3d - 21h00
Duración, formato, fechas y lugar: ¡Tú decides, nosotros nos encargamos de organizarlo!

Descargar en formato pdf

Compartir este curso por correo electrónico




Los servicios web conformes al estilo de arquitectura REST establecen la interoperabilidad entre ordenadores en Internet. Aprenderá las buenas prácticas de diseño y desarrollo y las herramientas asociadas, así como las vulnerabilidades más comunes y las mejores formas de protegerse contra ellas.


Objetivos pedagógicos
Una vez finalizada la formación, el participante podrá:
Familiarícese con las herramientas que le ayudarán desde el diseño hasta la implantación y supervisión de sus API.
Comprender las amenazas a sus API
Identificar las vulnerabilidades más comunes
Identifique los puntos débiles de una API y protéjala
Dominio de las mejores prácticas en el diseño, desarrollo y arquitectura de las API ReST

Público afectado
Desarrolladores web front-end y back-end, arquitectos.

Requisitos previos
Conocimientos de HTTP y desarrollo web: JavaScript/HTML.

Programa de la formación

1
Introducción a las API ReST

  • Arquitecturas, aplicaciones y API de n niveles.
  • Las principales diferencias entre una API REST y una API SOA.
  • H.A.T.E.O.A.S. Gestión de recursos y enlaces hipermedia.
Trabajo práctico
Diseño de una API flexible, escalable, resistente y de alto rendimiento.

2
Buenas prácticas

  • Convenciones y buenas prácticas.
  • Técnicas y estrategias de control de versiones.
  • Buenos planteamientos de diseño y desarrollo.
Trabajo práctico
Definición y diseño de una API ReST.

3
La caja de herramientas

  • Diseño de API ReST con OpenAPI y Swagger.
  • Uso de Cartero o Insomnio.
  • Entorno y herramientas de prueba (generador JSON, servidor JSON).
  • Simulacro de API.
Trabajo práctico
Especificación de una API ReST con Swagger. Implementar y probar una API ReST.

4
Recordatorio de seguridad

  • Principios fundamentales de la seguridad informática. Amenazas e impacto potencial.
  • APIs específicas: Farming y Throttling.
  • BFA e IA: las nuevas amenazas.
  • Las distintas inyecciones (XSS, BSI, XSRF, RFI, XPi, etc.).
  • Exposición de datos sensibles. Protección del acceso.
  • Deserialización insegura. Componentes vulnerables.
  • Registro y supervisión.
  • Presentación del OWASP TOP 10.
  • Descubra Pentesting.
  • Introducción a Restler-Fuzzer.
Trabajo práctico
Presentación de una serie de soluciones de seguridad para sitios web.

5
Autenticación y autorización

  • Seguridad de autenticación.
  • Sistema de registro.
  • Seguridad del servidor.
  • Canonicalización, evasión y sanitización.
  • Gestión de permisos: acceso basado en funciones frente a acceso basado en recursos.
  • CORS (Cross-Origin Resource Sharing) y CSRF (Cross-Site Request Forgery).
  • Autenticación con OAuth2 y OpenID Connect: vocabulario y flujo de trabajo.
Trabajo práctico
Buscar y explotar vulnerabilidades de autenticación y autorización.

6
Middleware y JWT (JSON Web Token)

  • Un recordatorio de la criptografía.
  • Los principios fundamentales de JWT.
  • Riesgos intrínsecos y vulnerabilidades.
Trabajo práctico
Desafío en una API no segura.

7
Pruebas API

  • Las 10 áreas de las pruebas API.
  • Ventajas y limitaciones de las pruebas API únicas.
  • Creación de una API comprobable por diseño.
  • Pruebas de endurecimiento.
  • Requisitos de las pruebas de conformidad API.
  • Prácticas probadas para reducir los costes de las pruebas.
Trabajo práctico
Pruebas de una API con Postman, creación de un escenario de pruebas basado en datos e integración de CLI en Newman.

8
Gestión de API

  • Ventajas de las soluciones de gestión de API.
  • Gravitee: una API de código abierto moderna y eficaz.
  • Gestión del acceso a las API, Diseño de las API, Gestión de las API, Despliegue de las API y Observabilidad de las API.
Trabajo práctico
Utilice una solución de gestión de API para desplegar una API.