Développeur API freelance (REST, GraphQL, gRPC)
Développeur API freelance : OpenAPI 3.1, GraphQL Federation, gRPC, Connect-RPC, Kong, Tyk, OAuth 2.1, mTLS, TJM et missions ForTeam IT.
Développeur API freelance (REST, GraphQL, gRPC)
Toute application a une API. C'est la surface contractuelle qui relie le front, le mobile, les partenaires B2B, les microservices internes et — nouveauté massive — les agents IA qui orchestrent des actions au nom des utilisateurs. Le développeur API freelance est devenu un profil stratégique : il définit, conçoit, sécurise et fait évoluer ce contrat. Trois protocoles cohabitent : REST, GraphQL, gRPC. Maîtriser les trois, c'est devenir indispensable.
REST vs GraphQL vs gRPC
| Critère | REST (OpenAPI 3.1) | GraphQL | gRPC / Connect-RPC |
|---|---|---|---|
| Cas d'usage idéal | API publiques, partenaires B2B | Frontends complexes, BFF | Microservices internes, mobile |
| Performance | Bonne | Variable (N+1) | Excellente (HTTP/2, binaire) |
| Outillage front | Excellent (codegen OpenAPI) | Excellent (Apollo, Relay) | Bon (Connect-Web, grpc-web) |
| Évolutivité schéma | Versionnée | Schéma évolutif | Backward-compat Proto |
| Adoption | Standard universel | Forte (Federation v2) | En croissance hors Google |
| Sécurité standard | OAuth 2.1, mTLS | OAuth + persisted queries | mTLS + JWT |
Verdict : un dev API senior doit maîtriser les trois, choisir en fonction du contexte, et ne pas dogmatiser.
Stack du dev API
- Spécification : OpenAPI 3.1, JSON Schema 2020-12, AsyncAPI pour l'event-driven.
- GraphQL : Apollo Federation v2, Hot Chocolate (.NET), strawberry (Python), grafbase, persisted queries obligatoires.
- gRPC / Connect-RPC : Protobuf, buf.build pour la gestion des schémas, Connect pour la compat HTTP/JSON.
- API Gateway : Kong, Tyk, AWS API Gateway, Azure API Management, Gravitee.
- Sécurité : OAuth 2.1, OpenID Connect, mTLS, JWT, rate limiting, WAF.
- Observabilité : OpenTelemetry, Prometheus, Grafana, Datadog APM.
- Tests : Pact (contract testing), Postman/Newman, k6.
- Doc & dev portal : Backstage, Stoplight, Redoc, Bump.sh.
Parcours et TJM
- Junior dev API (1 à 3 ans) : implémente REST simples, premiers GraphQL, sait lire un OpenAPI. TJM 550 à 650 EUR/jour.
- Confirmé (3 à 6 ans) : design contract-first, sécurité OAuth 2.1, gateway, performance. TJM 650 à 800 EUR/jour.
- Senior / API Architect (6 ans et plus) : stratégie API d'entreprise, API platform, federation GraphQL multi-équipes, governance. TJM 800 à 850 EUR/jour, jusqu'à 900 EUR/jour sur API publiques bancaires DSP2/DSP3.
Une journée type
9h00 — Standup équipe BFF mobile. 9h30 — Revue d'une spec OpenAPI 3.1 d'un partenaire B2B, vérification des discriminators, examples, error model RFC 7807. 11h00 — Atelier avec l'équipe sécu : migration OAuth 2.0 → OAuth 2.1 avec PKCE obligatoire et suppression de l'implicit flow. 14h00 — Implémentation d'un subgraph Apollo Federation pour le domaine "commande". 16h00 — Configuration Kong : rate limiting par consumer, mTLS interne, plugin OIDC. 17h30 — Documentation sur Backstage, push spec dans le registry buf.build.
Industries qui recrutent
- Banque : API DSP3 (Open Finance), API B2B partenaires, agrégateurs.
- Assurance : API distribution, partenaires courtiers, agrégateurs IoT auto.
- Retail & marketplace : API catalogue, panier, paiement, partenaires logistiques.
- Télécom : API self-care, IoT, billing.
- Public : France Connect, API d'État (data.gouv, FranceTransport).
- SaaS B2B : tout éditeur de logiciel a aujourd'hui une API publique monétisée.
Voir tous les métiers IT freelance
Tendances à connaître
- API pour agents IA : exposition de tools via standards émergents (MCP, function calling), descriptions sémantiques enrichies.
- GraphQL Federation v2 dominante côté frontend.
- gRPC + Connect plébiscités pour les microservices Go/Rust.
- Contract testing systématique (Pact) avant tout déploiement.
- API monétisées : développeurs experts en pricing/quotas/billing très demandés.
- Sécurité renforcée : OAuth 2.1 obligatoire, OWASP API Top 10 2023 au programme de toute revue d'archi.
Pièges fréquents
- Penser REST = CRUD mappé sur la base de données → API anémique, sans valeur métier.
- Exposer un schéma GraphQL sans persisted queries → faille DoS garantie.
- gRPC en API publique → mauvais choix, garder pour le service-to-service.
- Pas d'OpenAPI 3.1 versionné → impossible de générer des SDK clients fiables.
- Versioning par URL sans politique claire → multiplication des v1/v2/v3 zombies.
Pourquoi ForTeam IT pour les missions API
Le métier d'API a explosé en complexité : un dev API senior n'est pas un dev backend "qui fait des routes". Vous n'êtes pas seul à devoir prouver ce différentiel à des recruteurs parfois mal calibrés. ForTeam IT parle ce langage : nous connaissons la différence entre une mission "BFF GraphQL Apollo Federation" et "ajouter quelques endpoints REST", et nous savons positionner votre TJM en conséquence.
ForTeam IT travaille avec des éditeurs SaaS, des banques digitales et des plateformes B2B qui considèrent l'API comme un produit, pas un sous-produit. Vos compétences OpenAPI 3.1, gRPC, OAuth 2.1 y trouvent toute leur valeur.
À lire aussi
Vous êtes consultant IT freelance ?
Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.
Rejoindre la communauté