La conception d'API sécurisée implique de protéger les API contre les abus et les attaques — par une authentification/autorisation appropriée, une validation des entrées, un limitation de débit, du HTTPS, et une gestion prudente des données. Les API sont des cibles d'attaque courantes, donc les sécuriser est important.
Pratiques fondamentales de sécurité des API
✓ AUTHENTICATION → verify who's calling (API keys, OAuth tokens, JWT) — don't leave
endpoints open
✓ AUTHORIZATION → check the caller is allowed for EACH endpoint/resource (per-request,
server-side; prevent accessing others' data — broken access control / IDOR)
✓ HTTPS/TLS → always (encrypt API traffic; never plain HTTP)
✓ INPUT VALIDATION → validate/sanitize all inputs (prevent injection, malformed data)
✓ Don't EXPOSE sensitive data → return only needed fields; no secrets/internal data in responses
