In [None]:
# On va donc modifier l'API deja créée à la compétence 5 et ajouter/modifier ce qui est nécessaire

In [None]:
# 1. Accès REST sécurisé avec JWT

# L'authentification par JWT est déjà implémentée, on protège bien les endpoints avec @jwt_required().
#  Ce que l'on va modifier : Ajout des logs pour le suivi des tentatives d'accès

#----Code Ajouté dans app.py-----#
# import logging

# # Configuration des logs pour ne capturer que les erreurs
# logging.basicConfig(filename='error.log', level=logging.ERROR)

# @app.before_request
# def log_request_info():
#     # Enregistre uniquement les erreurs
#     logging.error(f"Request from {request.remote_addr}: {request.method} {request.url}")
#----Code Ajouté dans app.py-----#



# Ce bloc ajouté enregistrera les requêtes amnenant des ERREURS ou des EVENEMENTS CRITIQUES 
# dans un fichier nommé access.log et générera des logs pour chaque requête avant son traitement.




In [None]:
# 2. Sécurisation OWASP

# En ajoutant le module Flask-Limiter, on protège l'API contre les attaques de type force brute et DDoS.
# La limitation à "15 requêtes par minute" sur /login empêche des tentatives massives de connexion malveillante. 
# Cette approche suit également les recommandations OWASP pour le contrôle du débit.





In [None]:
# 3. Documentation avec Swagger et OpenAPI

# Swagger permet de documenter automatiquement les endpoints de l'API en suivant les normes OpenAPI.

# L'exemple déjà mis en place dans mon API Flask inclut deja une interface Swagger 
# pour la visualisation et le test de l'API : RAS ici c'est bon

In [2]:
%pip install pytest

Collecting pytest
  Downloading pytest-8.3.3-py3-none-any.whl.metadata (7.5 kB)
Collecting iniconfig (from pytest)
  Using cached iniconfig-2.0.0-py3-none-any.whl.metadata (2.6 kB)
Collecting pluggy<2,>=1.5 (from pytest)
  Using cached pluggy-1.5.0-py3-none-any.whl.metadata (4.8 kB)
Downloading pytest-8.3.3-py3-none-any.whl (342 kB)
Using cached pluggy-1.5.0-py3-none-any.whl (20 kB)
Using cached iniconfig-2.0.0-py3-none-any.whl (5.9 kB)
Installing collected packages: pluggy, iniconfig, pytest
Successfully installed iniconfig-2.0.0 pluggy-1.5.0 pytest-8.3.3
Note: you may need to restart the kernel to use updated packages.


In [None]:
# 4. Tests Unitaires

# Il est essentiel de mettre en place des tests unitaires pour garantir la stabilité de l'API,
#  notamment en testant les différents points de terminaison et la logique métier. Les tests devraient notamment vérifier :

#     L'authentification via JWT, pour s'assurer que seuls les utilisateurs autorisés accèdent à l'API.
#     L'accès aux endpoints protégés, en garantissant que la logique d'autorisation est correctement mise en place.

# On va créer un fichier séparé 'pytest_api.py' pour valider ce point donc 

In [None]:
# 2. OWASP Top 10 : Ajout de sécurisations supplémentaires

# oon doit vérifier la conformité aux bonnes pratiques OWASP en sécurisant davantage les endpoints :

#     Limitation du nombre de requêtes (pour protéger l'API des attaques de force brute).
#     Nettoyage des entrées (bien qu'on utilise psycopg2, une bonne habitude est de vérifier les données entrantes).


#

In [4]:
%pip install pytest-flask


Collecting pytest-flask
  Downloading pytest_flask-1.3.0-py3-none-any.whl.metadata (14 kB)
Downloading pytest_flask-1.3.0-py3-none-any.whl (13 kB)
Installing collected packages: pytest-flask
Successfully installed pytest-flask-1.3.0
Note: you may need to restart the kernel to use updated packages.


In [1]:
%pip install Flask-Limiter

Collecting Flask-Limiter
  Downloading Flask_Limiter-3.8.0-py3-none-any.whl.metadata (6.1 kB)
Collecting limits>=3.13 (from Flask-Limiter)
  Downloading limits-3.13.0-py3-none-any.whl.metadata (7.2 kB)
Collecting ordered-set<5,>4 (from Flask-Limiter)
  Downloading ordered_set-4.1.0-py3-none-any.whl.metadata (5.3 kB)
Collecting rich<14,>=12 (from Flask-Limiter)
  Downloading rich-13.9.3-py3-none-any.whl.metadata (18 kB)
Collecting deprecated>=1.2 (from limits>=3.13->Flask-Limiter)
  Downloading Deprecated-1.2.14-py2.py3-none-any.whl.metadata (5.4 kB)
Collecting importlib-resources>=1.3 (from limits>=3.13->Flask-Limiter)
  Downloading importlib_resources-6.4.5-py3-none-any.whl.metadata (4.0 kB)
Collecting markdown-it-py>=2.2.0 (from rich<14,>=12->Flask-Limiter)
  Using cached markdown_it_py-3.0.0-py3-none-any.whl.metadata (6.9 kB)
Collecting wrapt<2,>=1.10 (from deprecated>=1.2->limits>=3.13->Flask-Limiter)
  Downloading wrapt-1.16.0-cp312-cp312-win_amd64.whl.metadata (6.8 kB)
Collecting

In [None]:
# POUR LES TESTS CHAQUE TEST PAR CELLULE car des bugs avec le 'pytest_api'

In [31]:
# Test de la page d'accueil

# Nous envoyons une requête GET à l'endpoint racine ('/') pour vérifier que la page d'accueil de l'API fonctionne correctement
response = requests.get('http://127.0.0.1:5001/')

# On vérifie si le code de statut est 200, ce qui va signifier que la page d'accueil a bien été servie
assert response.status_code == 200, "Échec du test de la page d'accueil"

# Va vérifier si le texte de bienvenue attendu est bien présent dans le contenu de la réponse
assert "Bienvenue sur l'API de Recommandations de Livres" in response.text

#  message de succès si tout est OK
print("Test de la page d'accueil réussi")


Test de la page d'accueil réussi


In [32]:
# Test de connexion avec des informations incorrectes
response = requests.post('http://127.0.0.1:5001/login', json={'username': 'wrong', 'password': 'wrong'})
print(f"Code de statut renvoyé : {response.status_code}")  # Affiche le code de statut pour debug
assert response.status_code == 401, "Échec du test de connexion incorrecte"
print("Test de connexion incorrecte réussi")


Code de statut renvoyé : 401
Test de connexion incorrecte réussi


In [33]:
# Test de connexion avec des informations correctes

# Nous envoyons une requête POST à l'endpoint de connexion (/login) avec des identifiants corrects
response = requests.post('http://127.0.0.1:5001/login', json={'username': 'admin', 'password': 'password'})

# si le code de statut est 200 la connexion a réussi
assert response.status_code == 200, "Échec du test de connexion correcte"

# Vérification que la réponse contient un 'access_token', nécessaire pour les requêtes protégées
assert 'access_token' in response.json(), "Aucun token dans la réponse"

# Récupère le token d'accès pour l'utiliser dans les requêtes d'après
token = response.json()['access_token']

#  message confirmant le succès du test, ainsi que le token obtenu
print("Test de connexion correcte réussi, token obtenu :", token)


Test de connexion correcte réussi, token obtenu : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmcmVzaCI6ZmFsc2UsImlhdCI6MTcyOTc2NDcwMCwianRpIjoiYWNlMTdiMTAtNmJmOC00MjYxLWFmODItMmJhNjdjNjZjNWQxIiwidHlwZSI6ImFjY2VzcyIsInN1YiI6ImFkbWluIiwibmJmIjoxNzI5NzY0NzAwLCJjc3JmIjoiNjJiNmUyMmQtMDM2Yi00NDdhLTg5M2QtMTViNDZmYTA4ZDMwIiwiZXhwIjoxNzI5NzY1NjAwfQ.KM3VdlZVMMS9aqtFjhDq0bkMJYmFE98OSS5c7pwKIHA


In [34]:
# Test de récupération de la liste des livres après authentification
login_response = requests.post('http://127.0.0.1:5001/login', json={'username': 'admin', 'password': 'password'})
token = login_response.json()['access_token']
headers = {'Authorization': f'Bearer {token}'}

response = requests.get('http://127.0.0.1:5001/books', headers=headers)
assert response.status_code == 200, "Échec du test de récupération des livres"
print("Test de récupération des livres réussi")


Test de récupération des livres réussi


In [35]:
# Test de récupération d'un livre par titre et affichage des informations complémentaires pour prouver que cela fonctionne correctement

# Nous envoyons une requête GET à l'endpoint /books/title/<title> pour récupérer le livre avec le titre spécifié
response = requests.get('http://127.0.0.1:5001/books/title/The One Tree', headers=headers)  # Test livre 'The One Tree'

# Vérifications

# si le code de statut est 200, ce qui signifie que le livre a été trouvé
assert response.status_code == 200, "Échec du test de récupération du livre par titre"

# Vérification que la réponse JSON contient bien la clé 'title', indiquant que le livre a bien été récupéré
assert 'title' in response.json(), "Titre du livre manquant dans la réponse"

# Récupération des données du livre depuis la réponse JSON
book = response.json()

# Affichage des informations pour confirmer que les bonnes données ont été récupérées
print(f"Test de récupération du livre par titre réussi")
print(f"Titre : {book['title']}")  # Affiche le titre du livre

print(f"Année de publication : {book['published_year']}")  # Affiche l'année de publication
print(f"Note moyenne : {book['average_rating']}") 
print(f"Auteurs : {', '.join(book['authors'])}")  


Test de récupération du livre par titre réussi
Titre : The One Tree
Année de publication : 1982
Note moyenne : 3.97
Auteurs : Stephen R. Donaldson


In [36]:
# Test de récupération d'un livre avec un titre inexistant
response = requests.get('http://127.0.0.1:5001/books/title/The One Treeeeeeees', headers=headers)  # Un titre qui n'existe pas juste modifié The One Tree en gros
assert response.status_code == 404, "Le code de statut devrait être 404 pour un livre inexistant"
print("Test de récupération d'un livre inexistant réussi")


Test de récupération d'un livre inexistant réussi


In [38]:
# Test de récupération des recommandations pour un titre de livre valide
# Envoi d'une requête POST à l'endpoint /recommendations avec un titre de livre valide

# Connexion pour obtenir le token JWT
login_response = requests.post('http://127.0.0.1:5001/login', json={'username': 'admin', 'password': 'password'})
assert login_response.status_code == 200, "Échec de la connexion"
token = login_response.json()['access_token']
headers = {'Authorization': f'Bearer {token}'}

# Requête pour les recommandations basées sur le titre 'The Great Gatsby'
response = requests.post('http://127.0.0.1:5001/recommendations', json={'book_title': 'The One Tree'}, headers=headers)

# Vérifications
assert response.status_code == 200, "Échec du test des recommandations"

# Récupérer les recommandations depuis la réponse JSON
recommendations = response.json()

# Vérifier que des recommandations sont bien présentes
assert isinstance(recommendations, list), "La réponse devrait être une liste de recommandations"

# Affichage des recommandations pour confirmer que tout fonctionne bien
print("Test de récupération des recommandations réussi")
print(f"Recommandations pour 'The One Tree' : {recommendations}")


Test de récupération des recommandations réussi
Recommandations pour 'The One Tree' : [{'authors': 'David R. Hawkins', 'score': 0.5537504553794861, 'title': 'The Eye of the I'}, {'authors': 'Donna Freitas;Jason E. King', 'score': 0.5386337041854858, 'title': 'Killing the Imposter God'}, {'authors': 'Stephen R. Donaldson', 'score': 0.5011613368988037, 'title': 'A Dark and Hungry God Arises'}]


In [None]:
# Après intégration de la fonction le serveur met du temps a se lancer mais je pense que c'est normal vu qu'on lui passe tous les embeddings et toute la donnée importante 