API Security

API Course Introduction

หลักสูตรนี้จะเน้นการสร้างความปลอดภัยให้กับ Web API โดยจะเริ่มตั้งแต่การทำความเข้าใจการทำงานของ API ในรูปแบบต่างๆ ทั้ง REST, GraphQL และ gRPC ซึ่งในหลักสูตรนี้เราจะเน้นที่ความปลอดภัยของ REST API เป็นหลักเนื่องจากเป็น Common practices ของการทำ Web API และปัญหาใหญ่ที่สุดของ API คือเรื่องของ Authorization เราจึงต้องทำความเข้าใจการทำงานของ OAuth2(Authorization Framework ที่ถูก Implement มากที่สุด) เพื่อที่จะได้เลือก Flow การทำงานได้อย่างถูกต้อง

API Course Objectives

  • เข้าใจการทำงานพื้นฐานของ REST API
  • รู้จัก Technology ที่ใช้ในการทำ Web API
  • เข้าใจธรรมชาติและปัญหาของ Web API
  • เข้าใจการทำงานของ JWT และ OAuth2
  • รู้ว่าต้องทำอย่างไรเพื่อให้ Web API ของเราปลอดภัย

Target Group

  • Software Engineer
  • Software Developer
  • Software Tester

Course Outline of API

    Day 1
  1. Overview of the security threats
    1. Introduction to OWASP Project
    2. OWASP Top 10
    3. OWASP API Top 10
    4. OWASP REST Security
    5. OWASP REST Cheatsheet
  2. API Best practices
    1. What is REST API
    2. What is GraphQL
    3. What is gRPC
    4. REST vs RPC
    5. HTTP Method
    6. HTTP Request and Response
    7. Manipulate resources
    8. Using API Gateway

  3. Day 2
  4. API Testing
    1. Open API Specification (OAS)
    2. Automated Testing with Postman
    3. Automated Testing with SoapUI
    4. Performance Testing with jMeter
  5. Same-origin policy
    1. Defining origin
    2. Cross-site scripting attack (XSS)
    3. Cross-site request forgery attack (CSRF)
    4. Enable Cross Origin Resource Sharing (CORS)

  6. Day 3
  7. SSL Encrypted API Traffic
    1. Man in the Middle attack
    2. Rejecting invalid certificates
    3. Identifying Invalid Certificates
    4. Certificate Pinning
  8. Secure RESTful API
    1. Require Https
    2. How to CORS work
    3. Middleware concepts
    4. Add CORS middleware
    5. Versioning your API
    6. Secure API endpoints
    7. API Rate Limiting
    8. Self-documentation and HATEOAS
    9. Logging and Monitoring services
    10. HTTP Exception handling
    11. Defence in Depth with Microservices

25-27 July 2022

Course Level



3 Days

Tuition Fee

23,500.00 THB


ACIS Certified Professional Instructor

Our website uses both essential and non-essential cookies to analyze use of our products and services. This agreement applies to non-essential cookies only. By accepting, you are agreeing to third parties receiving information about your usage and activities. If you choose to decline this agreement, we will continue to use essential cookies for the operation of the website. View Policy