Signature des requêtes API : pièges et bonnes pratiques
Cet article explore les défis de sécurité liés à la signature des requêtes API, en particulier les difficultés de signature des objets JSON. L’auteur souligne que, si la signature HMAC simple est sécurisée, la signature directement dans l’objet JSON peut entraîner divers problèmes, tels que plusieurs représentations équivalentes de JSON entraînant des échecs de validation de la signature. L’article compare et analyse plusieurs méthodes de signature, notamment la canonicisation JSON, l’ajout de données de signature redondantes et l’utilisation de formats alternatifs. Des exemples de schémas de signature AWS et Flickr illustrent les risques de sécurité liés aux implémentations défectueuses. Enfin, l’auteur recommande de privilégier TLS et d’éviter la signature intégrée dans JSON, en optant pour une signature externe afin de garantir la sécurité des requêtes API.
Lire plus