• Plusieurs façons de concevoir une application web
• On distingue traditionnellement
  1. L'architecture côté traitement (calcul, backend)
  2. L'architecture côté interface (rendu, frontend)

Monolithique + MPA = ❤️

Pourquoi utiliser un framework ?

Comment choisir un framework ?

Quelles conséquences sur le marché du travail ?

• Conteneur d'injection ≠ Injection de dépendances
• Conteneur d’injection = un des mécanismes qui permet de mettre en oeuvre l’injection de dépendances
• Rôles :
  • Centraliser l'instantiation des classes au même endroit
  • Gérer le cycle de vie des objets
• Intégré dans les frameworks (avec des implémentations différentes)
• En pratique, il y a très peu d'interaction avec le conteneur (autowiring)

2 contextes d'exécution :

1. Traitement dans la requête (synchrone, depuis le navigateur)
   = client (requête) → serveur (réponse)
   
   
2. Traitement en arrière-plan (asynchrone, hors navigateur)
   = événement déclencheur → traitement → résultat
   = action de l'utilisateur, timer, etc. → tâche → un fichier, un e-mail, etc.
   

Pourquoi ?

1. Logique métier / fonctionnelle
2. Traitement long
3. Performance
4. Sécurité / conformité

Les étapes de traitement synchrone (requête) :

1. Le client émet la requête (GET / POST) avec ou sans paramètres (form-data, url-encoded, etc.)
2. Le serveur Web traite la requête (proxy/fichiers statiques/terminaison TLS/HTTPS, etc.) et la transfère à l’application
3. L’application reçoit et traite la requête puis génère la réponse
   1. Couche 1 : pré-traitement (middleware)
   2. Couche 2 : validation (si données entrantes/formulaires)
   3. Couche 3 : action (traitement)
   4. facultatif: rendu HTML (si la réponse est une page Web)
4. L’application transmet la réponse au serveur Web
5. Le serveur Web transmet la réponse au client

1. Définir la requête

• Le routage (routing)
• Les pré-traitements

2. Traiter la requête

• Valider les données entrantes
• Prendre en charge l’envoi de fichiers
• Manipuler les données persistantes

3. Générer la réponse

4. Gérer les erreurs

Symfony (PHP)

Spring (Java)

Laravel (PHP)

• Vérifications communes/partagées entre plusieurs routes
• Vérifications réalisées en amont du traitement
  = avant d’arriver à la méthode du contrôleur
• Exemples :
  • Vérifier que l’application n’est pas en maintenance
  • Vérifier la validation du jeton CSRF
  • Vérifier si l’utilisateur est identifié et s’il a le droit de réaliser l’action
  • Inscrire dans le journal un type spécifique d’actions
• Selon les frameworks, l'implémentation diffère :
  • Laravel : middleware / guard
  • Symfony : events / firewall
  • Java : intercepting filters

1. Définir la requête

• Le routage (routing)
• Les pré-traitements

2. Traiter la requête

• Valider les données entrantes
• Prendre en charge l’envoi de fichiers
• Manipuler les données persistantes

3. Générer la réponse

4. Gérer les erreurs

• Validation côté serveur (back) ⇒ obligatoire
• Validation côté client (front) ⇒ additionnelle, facultative

• Les frameworks embarquent presque tous des mécanismes pour définir des règles de validation des données entrantes

PHP natif (procédural)

Symfony

Laravel

1. Définir la requête

• Le routage (routing)
• Les pré-traitements

2. Traiter la requête

• Valider les données entrantes
• Prendre en charge l’envoi de fichiers
• Manipuler les données persistantes

3. Générer la réponse

4. Gérer les erreurs

API

MPA/SSR

1. Définir la requête

• Le routage (routing)
• Les pré-traitements

2. Traiter la requête

• Valider les données entrantes
• Prendre en charge l’envoi de fichiers
• Manipuler les données persistantes

3. Générer la réponse

4. Gérer les erreurs

Malheureusement, peu importe la prudence que nous mettons lors de l'écriture de notre code, les erreurs sont un fait de la vie.

— PHP.net

• 2 types d'erreurs
  • Erreurs techniques (réseau, système de fichiers, etc.)
  • Erreurs fonctionnelles (cas imprévu, non pris en charge, etc.)
• Dans tous les cas
  • S'assurer que l'erreur soit correctement traitée en interne
  • S'assurer que l'erreur soit correctement affichée à l'utilisateur
  • S'assurer que l'erreur soit tracée/journalisée/identifiable

Mécanisme de gestion des exceptions

• Spécifique au langage ou à la technologie utilisée
• Les frameworks PHP intègrent tous un gestionnaire d'exceptions
• Exemples
  • Afficher un message d'erreur à l'utilisateur pour l'aider à résoudre le problème (échec de validation)
  • Afficher un message d'erreur à l'utilisateur pour contacter l'assistance (cas non identifié)
  • Décider de ne pas bloquer le reste du traitement si l'exception levée ne le nécessite pas

La journalisation

Enregistrer des informations lors de l'utilisation de l'application :

• Erreurs avec trace de la pile d'exécution (par défaut)
• Informations de conformité (ex. action destructive d'un utilisateur, etc.)
• Informations de performances (ex. délai d'une requête SQL, temps de réponse d'une API, etc.)

1. Écrire des informations dans le journal

2. Exploiter les informations inscrites
   • Dans un fichier (ex. storage/logs/laravel.log)
   • Dans une base de données
   • Dans un service tiers (Sentry, Datadog, etc.)
   • ...

• Vérification de l'identité = besoin récurrent
• Authentification ≠ autorisation
• 3 possibilités
  1. Soit l’application intègre directement l’authentification
  2. Soit l’application délègue l’authentification à un autre service
  3. Soit l’application gère les deux situations (ex. Saas)
• Les frameworks facilitent la gestion de l'authentification
  1. Ressources pour prendre en charge l’authentification intégrée
     ex. middleware, guards, firewalls, etc.
  2. Ressources pour prendre en charge l’authentification déléguée
     ex. API/services/protocoles (IAM, IdP, OpenID/OAuth, LDAP, etc.)

Authentification intégrée

L'application gère le cycle de vie des utilisateurs (inscription/création → modification → suppression).

• 1 utilisateur = 1 ou plusieurs mécanismes d’authentification
  

  Adresse email/mdp, jeton par e-mail, WebAuthn, etc.

• Selon l'architecture, après authentification, la session est conservée entre les requêtes :
  • SPA ou MPA (stateful) ⇒ session par témoin dans cookie
    (HttpSecure, sameSite)
  • SPA ou API (stateless) ⇒ par jeton
    (iOS Keychain ou Android KeyStore)

Authentification déléguée

L’application reçoit des informations de la part du fournisseur d’identité.

• De manière synchrone (au moment de la connexion de l’utilisateur)
• De manière asynchrone (à l’initiative de l’IdP ou de l’app.)
  

  Informations de mise à jour de l’utilisateur auprès du fournisseur d’identité (changement d’email, suppression du compte, etc.)

Certains protocoles vont plus loin (ex: déconnexion automatique)

• Le mécanisme d'autorisation dépend du projet / des règles de gestion

  Rôles et/ou permissions et/ou assignation explicite et/ou ...

• Pattern d'autorisation courant
  1. une action = une permission
  2. un rôle = plusieurs permissions
  3. un utilisateur = 1 ou plusieurs rôles

Pourquoi écrire des tests ?

• Écrite du code de qualité = écrire du code testable
• Gain de temps dans la durée
• Confort et sérénité d’esprit

Pourquoi appliquer des règles et conventions ?

• Partage du code source
• Gain de temps
• Cohérence

• Mocking = simuler le comportement d'objets
• Tester une requête à un service météo

• Tester l’envoi d’un email