![Logo kursu Python Level Up](https://raw.githubusercontent.com/daftcode/daftacademy-python_levelup-spring2019/master/logo.png)

![Plan zajęć](https://raw.githubusercontent.com/daftcode/daftacademy-python_levelup-spring2019/master/plan_zajec.jpg)

# Dynamika płynów II
## Aplikacja webowa, flask
### Wojciech Łuszczyński
#### Python level UP 25.03.2019

# 1. Request

## 1.1 GET

- Standardowe zapytanie z przeglądarki to GET.
- GET z założenia nie przesyła danych do serwera na "trwałe" (do tego służy POST).
- Zwyczajowo uznaje się że GET należy do metod bezpiecznych które nie zmieniają stanu serwera. (GET, OPTIONS, HEAD, TRACE)
- GET ma możliwość przesłania pewnej ilości danych do serwera za pomocą **querystring**.

### Query params

www.example.com/?var1=1&var2=test&_var3=&__var4

```python
@app.route("/request_query_string_discovery")
def print_request():
    print(dir(request))
    print('request.args:', request.args)
    print('type(request.args):', type(request.args))
    print('request.query_string:', request.query_string)
    return ''
```

To co nas interesuje to: `request.args`
```python
type(request.args): <class 'werkzeug.datastructures.ImmutableMultiDict'>
```

Wszystko ma swoje granice
Query string to część URI
```md
   http://www.jakis-serwer.pl:8080/a/b/file?var1=1&var2=test&_var3=&__var4#fragment_dokumentu
   \__/   \_________________/\___/\_______/ \____________________________/ \________________/
     |             |           |      |                  |                         |
  schemat        host         port   path           querystring                fragment
(protokół)   (nazwa serwera)                                                    (hash)
```

- URI ma swoją maksymalną długość zależną od klienta HTTP/servera/proxy itp. np. IE obsługuję max 2,083 znaków
- Kodowaniem znaków dla URI jest standard ASCI
- Znaki __!	*	'	(	)	;	:	@	&	=	+	$	,	/	?	#	[	]__  są znakami zarezerwawynmi i muszą być escapowane (patrz RFC 3986 / Wiki)

Dokumentacja werkzeug (obiekt requestu we Flask):
1. http://werkzeug.pocoo.org/docs/0.14/datastructures/#werkzeug.datastructures.ImmutableMultiDict
2. http://werkzeug.pocoo.org/docs/0.14/datastructures/#werkzeug.datastructures.MultiDict

Dokumentacja URI
1. URI RFC: https://tools.ietf.org/html/rfc2396
2. Kodowanie procentowe RFC: https://tools.ietf.org/html/rfc3986 
3. Wiki dla leniwych: https://en.wikipedia.org/wiki/Uniform_Resource_Identifier

## 1.2 POST

- POST to drugie najpopularniejsze zapytanie jakie możemy przekazać z przeglądarki
- RFC 7231 Mówi że metoda powinna służyć do dodania jakiegoś zasobu, przesłaniu danych które na stałe zmieniają stan serwera(danych) np: dodanie postu na blogu, komentarza, dodanie się listy mailingowej itp.
- Znaczenie metody jest oczywiście zwyczajowo przyjęte, zdarzają się nieoczywiste wyjątki
- POST jest traktowane przez przeglądarki z większą ostrożnością, np. zapytanie które jest przekierowane na inny adres w trakcie odpytania "Traci" niesione dane.

### FORM

Stadardowo każdy formularz w HTML wysyłany jest do serwera metodą POST wraz z serializowanymi polami np:
```html
<form action="/login" method="POST">
    <input name="login" placeholder="Your login" type="text" >
    <input name="password" placeholder="Your password" type="password">
    <button type="button"> login </button>
</form>
```
Zostanie przesłany jako request o następujących polach:
```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 30
Content-Type: application/x-www-form-urlencoded
```
```TEXT
login=daft&password=zexaeRL5PoeBsGYJ
```

### JSON

- Bardzo często możemy spotkać się z wysłaniem wiadomości do serwera w formacie JSON.
- JSON jest specyfikowany w RFC 4627. Od momentu powstania wypiera XML który był wcześniej głównym formatem serializowania przesyłanych danych.

Przykładowy Request logowania wysłany do serwera w postaci JSONa

```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 39
Content-Type: application/json
```
```JSON
{"login":"daft","password":"zexaeRL5PoeBsGYJ"}
```


### XML

- Coraz rzadziej spotkamy się z przesyłaniem POSTów w formacie XML
- Kiedyś podstawowy format przesyłania danych dzisiaj spotkamy w starszych rozwiązaniach enterprisowych wielkich firm napisanych w JAVA EE.
- XML jest formatem wykorzystanym w protokole SOAP. Bardzo modnym i kochanym np przez Microsoft i przemysł lotniczy

Przykładowy Request wysłany do serwera w postaci SOAP XML

```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 39
Content-Type: application/soap+xml; charset=utf-8
```

```XML
<?xml version="1.0"?>
<soap:Envelope
xmlns:soap="http://www.w3.org/2001/12/soap-envelope"
soap:encodingStyle="http://www.w3.org/2001/12/soap-encoding">

<soap:Body xmlns:m="http://www.example.org/login">
  <m:LoginData>
    <m:Login>daft</m:Login>
    <m:Password>zexaeRL5PoeBsGYJ</m:Password>
  </m:LoginData>
</soap:Body>

</soap:Envelope>
```

## 1.2 Metody idempotentne

- Metody które z założenia zmieniają stan serwera tylko raz, bez znaczenia ilekroć wykonamy dane zapytanie
- Np DELETE raz usunie zasób, nie uda się go usunąć bardziej, więc wielokrotna próba usunięcia zasobu rezultuje zawsze tym samym wynikiem
- ALE POST nie jest idempotenty, dodanie komentarza na blogu zawsze będzie skutkowało dodaniem kolejnego
- Z założenia GET też za każdym razem powinien odpowiedzieć tym samym zasobem jeśli zapytanie jest niezależne od czasu

# 2. Response

```INI
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2258 23:11:55 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 138
Last-Modified: Wed, 11 Feb 2258 23:11:55 GMT
Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux)
ETag: "3f80f-1b6-3e1cb03b"
Accept-Ranges: bytes
Connection: close
```
```HTML
<html>
<head>
  <title>Logged in</title>
</head>
<body>
  Hello to the fututre logged in man.
</body>
</html>
```

## 2.1 Status code

- Kody statusów zostały omówione na poprzednim wykładzie:
  - 1XX - Informacyjne
  - 2XX - Sukces
  - 3XX - Przekierowanie
  - 4XX - Błąd klienta
  - 5XX - Błąd serwera

- Najczęstszym kodem odpowiedzi na GET będzie status 200 świadczący o tym że dostaliśmy poprawną odpowiedź
- Dla zapytania POST najczęściej dostaniemy kod 200, ale bardzo często zapytanie z formularzem odsyła na stronę gdzie możemy zobaczyć rezultat naszego dodania zasobu przez przekierowanie 302

## 2.2 Body

Podobnie jak zapytanie, odpowiedź może mieć wiele postaci odpowiedzi. Dla przykładu udane zapytanie logowania może mieć odpowiedź w formie HTMLa z powitaniem na stronie.

```INI
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2258 23:11:55 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 138
Last-Modified: Wed, 11 Feb 2258 23:11:55 GMT
Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux)
ETag: "3f80f-1b6-3e1cb03b"
Accept-Ranges: bytes
Connection: close
```
```HTML
<html>
<head>
  <title>Logged in</title>
</head>
<body>
  Hello to the fututre logged in man.
</body>
</html>
```

# 3. HTML

## 3.1 Statyczny

- Bardzo często zdarzy się że nasz serwer będzie serwować statyczne assety (może to być plik html, obrazek itp)
- Statyczny HTML to może być też po prostu stringiem zapisanym w aplikacji np:

Podstawowa aplikacja flask (bardzo prymitywny response): 
```python
from flask import Flask, request, Respone
app = Flask(__name__)

@app.route("/")
def hello():
    resp = Response(
        response="<p>blablabla</p>",
        status=200,
        mimetype='text/html',
    )

if __name__ == '__main__':
    app.run(debug=True)
```

## 3.2 Dynamiczny

Dynamiczny HTML to taki do którego wygenerowania posłużyliśmy się zmiennymi danymi.
Może to być dowolna dana która ma wpływ na wyrenderowanie odpowiedzi

## 3.3 Szablony (templates)

- Najciekawszym w przypadku generowania HTMLa dynamicznie będą szablony odpowiedzi zwane dalej przez nas templatkami (en: templates)
- W świecie Pytkon występuje wiele różnych silników renderowania templatek np:
    - Jinja2
    - Mako
    - Django Templates
- zazwyczaj to z jakiego silnika skorzystamy jest dowolne i nie jest narzucone przez frameworki webowe choć niektóre mają domyślne moduły renderujące

### Jinja2

- Jeden z najczęściej wykorzystywanych silników renderowania szablonów.
- Charakteryzuje się dużą elastycznością i łatwością użycia
- Napisany tak by od razu można było programować z minimalną wiedzą czy doświadczeniem

```html
<div class="container">
  <p>My string: {{my_string}}</p>
  <p>Value from the list: {{my_list[3]}}</p>
  <p>Loop through the list:</p>
  <ul>
    {% for n in my_list %}
    <li>{{n}}</li>
    {% endfor %}
  </ul>
</div>
```

By wyrenderować taką templatkę możemy napisać bardzo krótki kawałek kodu w Python
```python
from flask import Flask, render_template
app = Flask(__name__)

@app.route("/")
def template_test():
    return render_template('template.html', my_string="Wheeeee!", my_list=[0,1,2,3,4,5])

if __name__ == '__main__':
    app.run(debug=True)
  ```

### Mako

- Jeden z najwszechstronniejszych silników renderowania templatek
- Nie był jednak pisany z myślą o łatwości użytkowania, lecz z myślą o możliwościach przez co ma większy "próg wejścia"
- Miesza bloki Pythonowe z HTML
- Można w templatkach zawrzeć dowolną logikę pythona potrzebną w czasie renderowania

```html
<%
    some_element = my_list[3]
%>

<div class="container">
  <p>My string: ${my_string}</p>
  <p>Value from the list: ${some_element}</p>
  <p>Loop through the list:</p>
  <ul>
    % for n in my_list:
    <li>${n}</li>
    % endfor
  </ul>
</div>
```

By wyrenderować taką templatkę korzystamy z bardzo zbliżonego mechanizmu co w przypadku Jinja2
```python
from flask import Flask
from flask.ext.mako import MakoTemplates, render_template

app = Flask(__name__)
mako = MakoTemplates(app)

@app.route("/")
def template_test():
    return render_template('template.html', my_string="Wheeeee!", my_list=[0,1,2,3,4,5])

if __name__ == '__main__':
    app.run(debug=True)
  ```

# 4. Routing

- Praktycznie każda współczesna aplikacja wymaga routowania.
- Routing to mechanizm rzutowania ścieżki na konkretne funkcje procesujące zapytanie. Często nazywane widokami (Views)
- Routing we Flask ma wiele możliwości i może być statyczny lub dynamiczny

## Statyczna ścieżka do widoku

```python
@app.route("/hello_world/")
def simple_path_tmpl():
    return 'hello_world'
```

## Routing dynamiczny - Zmienne w PATH

```python
@app.route("/simple_path_tmpl/<sample_variable>")
def simple_path_tmpl(sample_variable):
    print(sample_variable)
    print(type(sample_variable))
    print(app.url_map)
    return render_template(
        'route_description_tmpl.html',
        value=sample_variable,
        my_type=type(sample_variable),
        my_id=id(sample_variable),
    )
```

- w nawiasach ostrych umieszczamy nazwę zmiennej która później zostanie przekazana do naszej funkcji pod tą samą nazwą, zmienna jest domyślnie stringiem
- w ten sposób możemy odwoływać się do konkretnych zasobów np po nazwie

### Pobieranie danych z url z automatycznym rzutowanie do typu

```python
@app.route("/simple_path_int/<int:sample_variable>")
def simple_path_int(sample_variable):
    print(sample_variable)
    print(type(sample_variable))
    print(app.url_map)
    return render_template(
        'route_description_tmpl.html',
        value=sample_variable,
        my_type=type(sample_variable),
        my_id=id(sample_variable),
    )
```

- w nawiasach ostrych umieszczamy nazwę zmiennej poprzedzoną  nazwą rzutowania i dwukropkiem
- Flask dokona automatycznej konwersji zmiennej
- dostępne typy rzutowań:
    - __string__  (domyślny) dowolny ciąg znaków z pominięciem '/'
    - __int__     dodatnie liczby naturalne
    - __float__   dodatnie liczby zmiennoprzecinkowe
    - __path__    podobnie jak string ale wraz z ukośnikami '/'
    - __uuid__    UUID string

## Obsługa dowolnej ścieżki

```python
@app.route("/path/<path:my_path>")
def path_all(my_path):
    print(my_path)
    print(type(my_path))
    print(app.url_map)
    return render_template(
        'route_description_tmpl.html',
        value=my_path,
        my_type=type(my_path),
        my_id=id(my_path),
    )
```

- __path__ daje możliwość przekazania dowolnej ścieżki
- Flask nie wymaga jednak by path było ostatnim elementem UTL PATH
- można zmienne zapisać tak by UTL PATH kończył się bardzo konkretnie np:
    - ``` python
    @app.route("/resource/<path:r_path>/modify"```
   

## Obsługa różnych metod

- Domyślnie każda funkcja udekorowana `@app.route` odpowiada na zapytania __GET__
- Parametr dekoratora `methods` przyjmuje listę możliwych metod odpytania tej funkcji
- Flask jeśli ręcznie zdefiniujemy __GET__, dodatkowo doda obsługę dla __HEAD__ oraz __OPTIONS__

## POST - dodawanie zasobu

```python
@app.route("/person/<person_name>", methods=['GET', 'POST'])
def person_info(person_name):
	if request.method == 'GET':
		return get_person_info(person_name)
	elif request.method == 'POST':
		return post_person_info(person_name)
```

```python
def post_person_info(person_name):
	data = request.get_json()
	new_person = {
		'name': data.get('name'),
		'surname': data.get('surname'),
		'occupation': data.get('occupation')
	}
	global persons
	persons[data.get('name')] = new_person
	return 'OK'
```

- Może być tylko jedna funkcja odpowiadająca ścieżce
    - Nie można stworzyć 2 funkcji z tą samą ścieżką nawet jeśli odpowiadają za inne metody requestu
    - Dodatkową logikę routowania należy napisać samemu
- Łatwo zauważyć że obiekt __request__ nie jest deklarowany czyt też przekazywany
    - wystarczy tylko zaimportować obiekt __request__ z modułu __Flask__ w pliku z kodem aplikacji by był dostępny globalnie
    - __request__ odpowiada zawsze aktualnemu zapytaniu do aplikacji

# 5. Headers

- Każde zapytanie do serwera HTTP można podzielić na __HEADER__y oraz na __BODY__
- Nagłówki niosą tak samo ważne informacje dla serwera jak i treść samego zapytania
- Ilość Headerów jest dowolna ale są limitacje dotyczące sumarycznej długości wszystkich znaków w sekcji nagłówków i zależy to w dużej mierze od serwera HTTP.
    - Apache 2.0, 2.2: 8K
    - nginx: 4K - 8K
    - IIS: 8K - 16K (zależy od wersji)
    - Tomcat: 8K - 48K (zależy od wersji)

## 5.1 MIME Types

- MIME (Multipurpose Internet Mail Extensions)
- Typy MIME na początku były częścią protokołu pocztowego SMTP ale są tak dobrze przemyślane i popularne że są podstawowymi składowymi protokołów takich jak HTTP czy SIP
- W HTTP mime typ określa rodzaj zawartości wewnątrz wiadomości.
    - zawsze składa się z 2 części rozdzielonych ukośnikiem
    - typy MIME są ustandaryzowane
    - customowe podtypy zaczynające się od `x-` 
    - Przykład nagłówka HTTP przekzującego typ MIME
        - ```Content-Type: application/json; charset=utf-8```
    - Typy tekstowe mogą zawierać parametr charset określający kodowanie znaków
    - Inne typy też mogą zawierać parametry np: Multipart __boundry__ (reszta w RFC)

## 5.2 Cookies

- Cookie to też header
- Aktualny format i specyfikację cookie można znaleźć w RFC 6265
- Cookie powstało by przechowywać małe ilości informacji w __bezstanowym__ protokole HTTP
- Cookie domyślnie jest przechowywane przez przeglądarkę i zawsze doklejane do kolejnych zapytań na danej stronie lub jej podstronach (o ile parametry nie mówią inaczej)

```md
 Set-Cookie: nazwa=wartość; expires=DATA; path=ŚCIEŻKA; domain=DOMENA; secure
 \________/ \____/ \_____/          \__/       \_____/         \____/  \____/
      |       |       |              |            |               |       |
   Header   nazwa   wartość  data wygaśnięcia/   path      ograniczenie  HTTPS 
           cookie   cookie   czas życia cookie                domeny     only
```

- Budowa Cookie
    - nazwa cookie - Konkretna nazwa pliku do którego zostanie wpisana wartość w ASCI bez znaków specjalnych
    - wartość - Dowolna wartość w ASCI bez znaków specjalnych (dlatego często kodowane w BASE64)
    - expires - Cookie może wygasać po zadanym czasie w sekundach, w określonej dacie lub nigdy
    - path - Ścieżka dla której cookie będzie dostępne
    - domain - Ograniczenie domenowe np do konkretnej subdomeny danej strony
    - secure - Nie przyjmuje wartości, określa ze cookie może być wykorzystane tylko HTTPS
- Cookie może przetrzymywać sesję usera (domyślne dla Flask)
- Cookie to też nagłówek !! a nagłówki mają swoją maksymalną długość ograniczając wielość sesji usera
- Cookie może być dowolnie usuwane przez usera, ale nie modyfikowane .... czyżby ?? :D 

### Cookie a Flask

```python
    ...
    resp = make_response(render_template(...))
    resp.set_cookie('my_cookie_name', 'gimme cookies !!')
    return resp 
```

## 5.3 Autoryzacja i kontraola dostępu (Auth)

- HTTP standaryzuje header `Authorization`
- Serwer HTTP może uwiarygodnić usera i przyznać dostęp do zasobów
- Autentykacja może odbyć się na wiele sposobów np:
    - Token
    - Basic Auth
    - Digest
    - NTLM

### BasicAuth

- Najprostszy sposób autoryzacji
- Nie gwarantuje identyfikacji !!
- Nie gwarantuje bezpieczeństwa haseł!
    - user i hasło są przesłane jedynie zakodowane w BASE64 więc generalnie w PLAIN TEXT!
- Bezpieczeństwo (częściowe) stanowi jedynie połączenie BasicAuth z HTTPS

```md
 user_name:password
 \_______/ \______/ 
      |       |    
    user    pass  
```
- Całość następnie jest kodowane do BASE64 (wraz z dwukropkiem)
    - `user_name:password  -> dXNlcl9uYW1lOnBhc3N3b3Jk`
- Nagłówek zaś wygląda następująco:
    - `Authorization: Basic dXNlcl9uYW1lOnBhc3N3b3Jk`

# 5. Session

- Protokół HTTP jest bezstanowy
- Sesja pozwala na zachowanie danych użytkownika w trakcie trwania interakcji z serwerem
- Przykłady sposobów przechowywania sesji:
    - Cookie - Najprościej zserializowaną sesję przechowywać w cookie, ma swoje limitacje, sesja przechowywana po stronie klienta
    - Redis / Memcached - Serwery szybkiego dostępu, przechowują pary klucz/wartość i idealnie nadają się do trzymania sesji na użytkownika po stronie serwera
    - SQL / noSQL - Postgres/MySQL/MongoDB - Czasami wykorzystuje się bazy danych do przechowywania sesji
    - FS - filesystem - Sesję można też przechować po prostu w plikach na serwerze

## 5.1 Sesja we Flasku

- Domyślnie przechowywana po stronie klienta w Cookie
- Może być szyfrowana
- Ma sporo limitacji jak i jej implementacja jest bardzo podstawowa

```python
from flask import Flask, session
import datetime
 
app = Flask(__name__)
app.permanent_session_lifetime = datetime.timedelta(days=365)

@app.route('/counter/')
def visits():
    session['visits'] = session.get('visits', 0) + 1
    return "Visists Count: {}".format(session.get('visits'))
```