Sécurité
La sécurité des accès à l'API est assurée par un mécanisme d'authentification robuste. Toutes les requêtes authentifiées doivent inclure un jeton d'accès (access_token) pour garantir que seules les entités autorisées peuvent accéder aux ressources et effectuer des opérations. De plus, des mesures de protection contre les attaques de relecture sont mises en place en utilisant des en-têtes spécifiques pour chaque requête authentifiée.
Access token
Pour authentifier un utilisateur, les appels à l'API doivent inclure le header Authorization avec le format suivant :
Authorization: Bearer <access_token>
Le jeton d'accès (access_token) est obtenu via les points de terminaison d'authentification et doit être renouvelé régulièrement pour maintenir un niveau de sécurité élevé.
Protection contre les attaques de relecture
Pour éviter qu'une requête soit rejouée par un attaquant, les requêtes authentifiées doivent inclure les en-têtes suivants :
-
X-NONCE: Un UUID v4 aléatoire généré pour chaque requête. -
X-FINGERPRINT: L'identifiant unique de l'appareil utilisé pour générer leaccess_token. Cet identifiant doit être constant entre les requêtes d'authentification et les autres requêtes API.