Qu’est-ce qu’une API ?
Une API (Application Programming Interface) est une interface de programmation qui permet à un logiciel d’appeler des fonctions exposées par un autre logiciel selon des règles publiées (méthodes, paramètres, formats, codes de retour). Dans le cas le plus courant (API web), ces échanges reposent sur HTTP : un client envoie une requête, le serveur renvoie une réponse, avec une sémantique normalisée (méthodes, codes de statut, en-têtes).
Qu’est-ce qu’une API Rest ?
Une API REST désigne une API web construite selon le style d’architecture REST (Representational State Transfer), décrit par Roy Fielding : les interactions portent sur des ressources identifiées, manipulées via des représentations, au moyen de messages auto-descriptifs, dans un modèle stateless (sans état de session côté serveur au sens REST).
En pratique, “REST” est souvent utilisé pour qualifier des API HTTP qui structurent leurs URL autour de ressources et utilisent de façon cohérente les méthodes et codes de statut HTTP.
Qu’est-ce qu’un endpoint ?
Un endpoint est un point d’accès précis d’une API : typiquement une combinaison (i) d’une URL (ou route), (ii) d’une méthode HTTP (GET, POST, etc.), et (iii) d’un comportement attendu (paramètres, schéma de réponse, erreurs possibles). L’ensemble des endpoints constitue l’API. La terminologie (méthodes, statuts) s’inscrit dans la sémantique HTTP.
Qu’est-ce qu’un webhook ?
Un webhook est un mécanisme de notification “push” : au lieu que le client interroge l’API pour savoir si un événement a eu lieu, le serveur appelle une URL fournie par le client (callback) pour lui transmettre l’événement. Dans une chaîne de preuve, le webhook sert fréquemment à notifier une fin de traitement (par exemple : “jeton disponible”, “document scellé”, “archivage terminé”), ce qui suppose de sécuriser l’émetteur, la réception et la journalisation de l’appel.
Qu’est-ce que le payload ?
Le payload est la charge utile d’un message : la partie qui porte la donnée métier transmise (par exemple un JSON, un binaire, ou une empreinte). En HTTP, le payload est généralement contenu dans le corps (message body), tandis que les en-têtes (headers) décrivent notamment le type de contenu, l’encodage, l’authentification, etc.
Dans un dispositif probatoire, le point d’attention est d’identifier précisément ce qui est dans le payload (donnée, hash, métadonnées), et ce qui relève des en-têtes (contexte de transport, sécurité), afin d’éviter les ambiguïtés lors d’une vérification.
Qu’est-ce que l’authentification ?
L’authentification est le mécanisme par lequel un système vérifie qu’un appelant est bien celui qu’il prétend être (par exemple via un secret, un certificat, un jeton). En HTTP, l’authentification s’exprime notamment au moyen des champs Authorization / WWW-Authenticate et de schémas associés.
Dans une API de confiance numérique, l’authentification se combine avec l’autorisation (droits) et la limitation d’usage (quotas, anti-abus), car les vulnérabilités d’API proviennent fréquemment d’un contrôle d’accès mal appliqué ou incomplet (référentiel OWASP).
Qu’est-ce que le TLS ?
TLS (Transport Layer Security) est le protocole de sécurité qui permet à des applications client/serveur de communiquer en réduisant les risques d’écoute, d’altération et de falsification des messages sur le réseau. Il constitue la base de HTTPS (donc, dans la majorité des API web).
TLS ne “fait pas la preuve” à lui seul ; il sécurise le transport. La valeur probatoire d’un dispositif repose ensuite sur les mécanismes applicatifs (intégrité des objets produits, traçabilité, conservation, vérification), mais TLS est un prérequis technique pour limiter les contestations liées au canal de transmission.
