Cet article explique comment construire une API puissante avec Symfony et l’intégrer à une application frontend moderne (comme React). L’article détaille les étapes clés : installation de Symfony 7.3, création d’un endpoint API simple retournant des données JSON (ici, une liste de produits), puis développement d’une application React avec Vite pour consommer ces données. Il aborde aussi la gestion des problèmes CORS via un proxy de développement et souligne l’importance d’une architecture API-first. Des statistiques récentes (2024) et des conseils pratiques (comme l’utilisation de Swagger pour la documentation) complètent le guide, qui se veut accessible même pour les débutants. L’auteur encourage à passer ensuite à une API dynamique avec Doctrine et MySQL. Idéal pour ceux qui veulent démarrer rapidement avec Symfony et React.

L'article décrit comment une équipe a optimisé le temps de récupération des données d'API dans un projet Symfony, réduisant le temps de traitement de 40 minutes à seulement 10 minutes. En utilisant des requêtes concurrentes et des techniques de parallélisation, ils ont pu gérer plusieurs appels API simultanément, améliorant ainsi considérablement l'efficacité et les performances de leur application. Cette approche a permis de réduire le temps d'exécution global et d'optimiser la gestion des ressources.

Tout est dans le titre

L'article explique comment utiliser les fichiers .http pour tester des API et augmenter la couverture de code sans écrire de tests d'intégration complexes. Les fichiers .http sont des fichiers texte simples qui décrivent des requêtes HTTP et peuvent être exécutés directement depuis des IDE populaires comme IntelliJ, Visual Studio et VSCode, ou en ligne de commande.

L'auteur propose d'utiliser ces fichiers dans les pipelines CI/CD pour exécuter des tests d'API et collecter la couverture de code. Il mentionne l'outil httpyac pour exécuter les fichiers .http en ligne de commande et dotnet-coverage pour instrumenter les binaires et collecter la couverture de code sans framework de tests.

L'article fournit également des exemples de commandes pour exécuter ces outils et intégrer les tests dans des pipelines Azure DevOps et GitHub Actions
.

L'article explique le principe de l'exponential backoff, une technique utilisée pour améliorer la résilience des applications modernes en gérant les tentatives de reconnexion ou de réexécution d'opérations après un échec. Cet algorithme augmente progressivement le délai d'attente entre chaque tentative, réduisant ainsi la pression sur les systèmes en défaillance et augmentant les chances de succès lors de pannes temporaires. L'article décrit comment implémenter cette technique en PHP, en incluant des paramètres comme le jitter pour éviter les tentatives simultanées. Il souligne également l'importance de rendre les opérations idempotentes et de bien configurer les paramètres de délai. L'exponential backoff est largement utilisé dans divers frameworks et bibliothèques pour améliorer la fiabilité des applications.

L'auteur explique qu'il a récemment dû mettre à jour son API vers une nouvelle version tout en maintenant l'ancienne pour les clients existants. Il a d'abord pensé à utiliser /v1/products pour la version actuelle et /v2/products pour la nouvelle, mais cette approche viole les principes REST et complique la maintenance. Les URL versionnées créent un couplage serré avec les clients, rendant difficile la gestion des versions obsolètes et entraînant une duplication de code. Une alternative RESTful consiste à utiliser les en-têtes HTTP pour négocier les versions, ce qui permet de maintenir des URI stables et de faciliter la compatibilité ascendante. Cependant, cette méthode nécessite que les clients configurent les en-têtes, ce qui peut être non trivial avec certains outils ou bibliothèques.

L'article présente une liste d'outils open source pour le test d'API, essentiels dans les architectures modernes basées sur les microservices. Il explique les différents protocoles comme SOAP, REST et GraphQL, et les critères techniques pour choisir un outil de test d'API. Parmi les outils mentionnés, on trouve Airborne, APIAuto, Apickli, ArexTest, Bruno, Dredd, Firecamp, Frisby, Insomnia, mountebank, RestAssured, Schemathesis, SoapUI, SuperTest et Tavern. Chaque outil a ses propres caractéristiques et avantages, comme la facilité d'utilisation, la compatibilité avec divers langages de programmation, et l'intégration avec les processus de développement et de livraison de logiciels.

L'article traite des meilleures pratiques en matière d'authentification et d'autorisation, en particulier dans le contexte des API. Voici un résumé des points clés :

1. Authentification :

   • HTTP Basic Authentication : Méthode simple mais peu sécurisée, utilisable uniquement dans des environnements très contrôlés ou pour des tests locaux.
   • Clés API : Doivent être traitées comme des mots de passe, transmises via HTTPS et régulièrement renouvelées.
   • JSON Web Token (JWT) : Plus sécurisé que les méthodes précédentes, mais nécessite une étape de connexion initiale. Idéal pour les applications web nécessitant une authentification utilisateur.
   • OpenID Connect (OIDC) : Ajoute une couche d'authentification à OAuth 2.0, permettant une intégration sécurisée des identités sur Internet.
   • Authentification Multi-Facteurs (MFA) : Renforce la sécurité en exigeant plusieurs facteurs d'authentification.

2. Autorisation :

   • OAuth 2.0 : Mécanisme d'autorisation basé sur des jetons, permettant aux utilisateurs de donner accès à leurs données à des applications tierces sans partager leurs identifiants.
   • Contrôle d'Accès Basé sur les Rôles (RBAC) : Assigne des permissions basées sur les rôles des utilisateurs.
   • Contrôle d'Accès Basé sur les Attributs (ABAC) : Permet un contrôle plus fin en se basant sur les attributs des utilisateurs, des ressources et de l'environnement.
   • Contrôle d'Accès Basé sur les Politiques (PBAC) : Combine les rôles et les politiques pour déterminer les privilèges d'accès.

3. Meilleures Pratiques :

   • Utiliser HTTPS pour chiffrer les communications.
   • Stocker les identifiants sensibles de manière sécurisée.
   • Appliquer le principe du moindre privilège.
   • Valider toutes les entrées utilisateur pour prévenir les attaques par injection.
   • Limiter le nombre de requêtes pour éviter les abus.
   • Surveiller et journaliser les activités pour détecter les comportements suspects.

4. Erreurs Courantes à Éviter :

   • Utiliser HTTP au lieu de HTTPS.
   • Stocker les clés API dans le code.
   • Ne pas valider les entrées utilisateur.
   • Ignorer les bonnes pratiques de sécurité.

L'article souligne l'importance de rester à jour sur les menaces de sécurité et de suivre les meilleures pratiques pour garantir la sécurité des API.

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Une présentation des schémas Json, avec ou sans utilisation de TypeScript

Une API pour envoyer / recevoir des messages vers toutes les fenêtres / onglets ouverts sur la même page web - pratique pour un système de notification / chat / etc. temps réel

Tout est dans le titre

Tout est dans le titre

Pratique !

Les 4 API :

• Screen Orientation API -> avec la possibilité, entre autres, de figer l'orientation
• Device Orientation API
• Vibration API
• Contact Picker API

Toutes ces API sont plutôt bien supportées, sauf Contact Picker qui n'est supportée que par Google Chrome

Tout est dans le titre

Tout est dans le titre

L'auteur montre l'utilisation des DTOs et des annotations pour la validation de données de requêtes d'API.