Sécurité Des APIs (JWT, CORS, OWASP JS)

Développement Informatique > Développement Javascript

Une formation de 3 jours pour maîtriser la sécurisation des APIs JavaScript avec JWT, CORS et les meilleures pratiques OWASP.

Organiser dans vos locaux

S'inscrire

La formation en 6 mots clés

Sécurité API

JWT & Tokens

OWASP JavaScript

Authentification

Prévention d'attaques

CORS et SOP

Informations Pratiques et Programme

Prérequis

Bases en JavaScript (ES6+), familiarité avec Express.js ou Node.js, notions de HTTP et protocoles de communication réseau.

Durée

3 jours

Contenu Technique de la Formation

Sécuriser les APIs JavaScript modernes est un enjeu critique pour toute application web. Cette formation couvre les menaces courantes (XSS, CSRF, injection) et les solutions éprouvées : authentification par JWT avec refresh tokens, gestion des CORS headers, implémentation d’OAuth2/OIDC, et mitigation des risques OWASP Top 10.

JWT (jsonwebtoken) — HS256 et RS256, signature et vérification, refresh tokens et rotation
CORS headers (Access-Control-*) — politique d’accès cross-origin, gestion des requêtes préflight, requêtes credentialed
OWASP Top 10 JavaScript — XSS (DOM, reflected, stored), CSRF, injection SQL/NoSQL, vulnerabilités XML
Helmet.js et middleware de sécurité — CSP, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security
Rate limiting, API key management et throttling — protection contre brute force et DoS
OAuth2/OIDC et Passport.js — flow d’authentification, intégration Google/GitHub, session management sécurisé

Objectifs de la Formation

Les objectifs visés par cette formation sont :

Écrire et valider des JWT avec jsonwebtoken, gérer refresh tokens et rotation de secrets
Configurer CORS headers pour contrôler l’accès cross-origin et sécuriser les requêtes credentialed
Détecter et prévenir XSS, CSRF, injection SQL/NoSQL selon la checklist OWASP Top 10
Implémenter helmet.js et appliquer CSP (Content Security Policy) sur une API Express
Intégrer OAuth2/OIDC avec Passport.js et implémenter des flows sécurisés (code, implicit, client credentials)
Tester et auditer une API pour les vulnérabilités courantes (ZAP, Burp Suite notions)

Table des Matières

Fondamentaux de sécurité API et OWASP Top 10 JavaScript

XSS (DOM, reflected, stored) — vecteurs d’attaque et prévention par echappement/CSP
CSRF (Cross-Site Request Forgery) — tokens CSRF et SameSite cookies
Injection (SQL, NoSQL, command injection) — parameterized queries et validation stricte
Authentification et session — sessions stateless vs stateful, tokens vs cookies
CORS et requêtes cross-origin — SOP (Same-Origin Policy), preflight, credentials

JWT, authentification et gestion des tokens

Structure JWT : header.payload.signature — HS256 (symmétrique) vs RS256 (asymétrique)
Validation JWT avec jsonwebtoken — vérification de signature, expiration, issuer
Refresh tokens et rotation — stratégies de stockage (httpOnly cookies vs localStorage)
Secrets management — variable d’environnement, vault, rotation régulière
Intégration avec Express middleware — extraction du token, validation en amont

CORS, CSP et Helmet.js

Access-Control-* headers — Access-Control-Allow-Origin, Credentials, Methods, Headers
Content Security Policy (CSP) — directives script-src, style-src, object-src, reporting
Helmet.js et middlewares — X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security
Gestion des CORS préflight — OPTIONS requests et cache CORS
SameSite cookies — Strict, Lax, None et prévention CSRF

OAuth2/OIDC et Passport.js

Flows OAuth2 — Authorization Code, Implicit, Client Credentials, Resource Owner Password
OpenID Connect (OIDC) — identity vs authorization, ID tokens et userinfo endpoint
Passport.js strategies — LocalStrategy, GoogleStrategy, GitHubStrategy, JWTStrategy
Session management avec Passport — serializeUser, deserializeUser, persistence
Intégration avec Google/GitHub — redirect URI, scopes, user data retrieval

Rate limiting, API Key et audit de sécurité

Rate limiting — express-rate-limit, stratégies par IP/user ID, window-based/token-bucket
API key management — génération, révocation, scopes par clé, rotation
Throttling et protection DoS — spike arrest, quota enforcement, blacklisting
Audit et logging — détection d’anomalies, audit trail, alertes de sécurité
Outils de test — OWASP ZAP basics, Burp Suite Community, penetration testing notions

En Pratique

Implémenter JWT dans vos APIs

Générer et valider des tokens JWT côté serveur et client
Gérer les secrets et les dates d'expiration

Configurer CORS en sécurité

Autoriser les origines légitimes et bloquer les appels non sécurisés
Tester les en-têtes et les pré-requêtes OPTIONS

Prévenir les vulnérabilités OWASP Top 10

Détecter les injections XSS, CSRF et les fuites de données sensibles
Mettre en place des en-têtes de sécurité (CSP, X-Frame-Options)

Tests de sécurité et audit des APIs

Utiliser des outils pour scanner les vulnérabilités
Valider la chaîne d'authentification et d'autorisation

Modalités et Inscription

Cette formation est proposée selon deux formules pour s'adapter au mieux à vos besoins :

Session régulière

Des sessions sont organisées à intervalles réguliers. Demandez les prochaines dates planifiées pour vous inscrire à la prochaine session.

Sur mesure & intra-entreprise

Vous souhaitez former vos équipes directement dans vos locaux ou adapter le programme technique à votre contexte d'entreprise ? Contactez-nous pour obtenir un devis personnalisé.

Obtenir cette formation

Prêt à sécuriser vos APIs ? Rejoignez dès à présent la prochaine session ou contactez-nous pour organiser cette formation dans vos locaux.

Devis sur-mesure

contact@bstorm.be · +32 (0) 10 24 71 10

S'inscrire à cette formation

Remplissez le formulaire pour obtenir plus d'informations.