STOA Platform sécurise l'accès API des agents IA à travers cinq couches indépendantes : liaison de certificat mTLS, OAuth 2.1 avec PKCE, évaluation de politiques OPA, guardrails IA et journalisation d'audit immuable. Chaque couche adresse une classe de menaces distincte. La compromission d'une seule couche ne confère pas d'accès non autorisé. Cet article décrit l'architecture de sécurité, le modèle de menace et la justification de conception de chaque couche.

stoactl est l'interface en ligne de commande de STOA Platform qui apporte une gestion d'API de style kubectl à votre terminal. Installez-le en une commande, authentifiez-vous auprès de votre Control Plane API, et gérez les APIs, abonnements et outils MCP sans toucher à la console web — idéal pour les scripts, les pipelines CI/CD et les développeurs qui préfèrent le terminal.

Vous avez installé STOA. Le health check retourne 200. Et maintenant ?

L'écart entre "ça tourne" et "c'est prêt pour la production" est là où la plupart des configurations échouent. Ce runbook couvre vos 7 premiers jours avec STOA — les habitudes opérationnelles qui préviennent les surprises à 3h du matin, la surveillance qui détecte les problèmes avant vos utilisateurs, et les étapes de renforcement qui séparent une démo d'un vrai déploiement.

Les circuit breakers sont des patterns de résilience critiques qui empêchent les pannes en cascade dans les systèmes distribués en bloquant temporairement les requêtes vers les backends défaillants. Dans les gateways API, ils agissent comme des interrupteurs de sécurité automatiques qui détectent les pannes, arrêtent de transférer le trafic vers les services défaillants, et laissent le temps aux systèmes de récupérer avant de reprendre les opérations normales.

Les clients MCP comme Claude Desktop et GPT sont des clients publics. Ils ne peuvent pas stocker de secrets client. OAuth 2.1 avec PKCE (Proof Key for Code Exchange) résout cela en remplaçant le secret client par une preuve cryptographique que seul le requérant original pourrait produire. Cet article parcourt le flux OAuth complet pour les gateways MCP, incluant la chaîne de découverte, le Dynamic Client Registration, et les pièges de production que nous avons rencontrés et résolus.

Vous définissez une API une seule fois. STOA l'expose à la fois comme endpoint REST et comme outil MCP — mêmes politiques, même surveillance, zéro duplication. C'est l'Universal API Contract (UAC), et ce tutoriel vous y guide en 5 minutes.

La plupart des plateformes API vous obligent à maintenir des configurations séparées pour chaque protocole : une pour les consommateurs REST, une autre pour les agents IA via MCP. Cela signifie des limites de débit dupliquées, des règles d'auth dupliquées, et une surface de misconfiguration doublée. L'UAC élimine tout cela.

Les outils MCP personnalisés vous permettent d'exposer n'importe quelle API comme une interface native IA que Claude et d'autres agents IA peuvent découvrir et invoquer automatiquement. Ce tutoriel vous guide à travers la création, l'enregistrement et le test d'un outil MCP personnalisé en utilisant le gateway STOA, de la définition YAML initiale jusqu'à l'invocation en direct par un agent IA.

Migrer un gateway API est l'une des modifications d'infrastructure les plus critiques qu'une organisation puisse effectuer. Mal réalisée, elle provoque des interruptions, des intégrations défaillantes et des failles de sécurité. Bien réalisée, elle est invisible pour les consommateurs tout en débloquant de nouvelles capacités.

Cette checklist en 15 étapes garantit zéro interruption et zéro perte de données lors de votre migration de gateway API, que vous partiez de webMethods, Kong, Apigee, DataPower, MuleSoft, Oracle OAM ou toute autre plateforme.

STOA exécute 9 jobs de sécurité en parallèle sur chaque pull request — scanning de secrets, SAST pour trois langages, audits de dépendances, scanning de containers, conformité des licences, génération de SBOM et vérification des signatures de commits. Cet article détaille chaque job, explique ce qu'il détecte et vous montre comment adopter la même approche dans vos propres projets. C'est dans l'esprit de notre philosophie de gateway API open source : le scanning de sécurité doit être intégré dans le CI, pas rajouté après une compromission.

Les benchmarks de débit proxy vous indiquent à quelle vitesse un gateway peut transférer des requêtes HTTP. Ils ne vous disent rien sur la capacité de ce gateway à servir des agents IA, appliquer des guardrails sur les appels d'outils, ou gouverner des sessions autonomes. Nous avons construit un nouveau benchmark qui mesure ce qui compte vraiment.