![Logo kursu Python Level Up](https://raw.githubusercontent.com/daftcode/daftacademy-python_levelup-spring2020/master/logo.png)

![Plan kursu](https://raw.githubusercontent.com/daftcode/daftacademy-python_levelup-spring2020/master/program.png)

# F jak Ficzur


### Wojciech Łuszczyński
### Python level up 2020
### 20.04.2020

# 1. Request

## 1.1 GET

- Standardowe zapytanie z przeglądarki do serwera http to GET.
- GET z założenia nie przesyła danych do serwera na "trwałe" (do tego służy POST).
- Zwyczajowo uznaje się że GET należy do metod bezpiecznych które nie zmieniają stanu serwera. (GET, OPTIONS, HEAD, TRACE)
- GET ma możliwość przesłania pewnej ilości danych do serwera za pomocą parametrów zapytania w odpowiednim formacie **querystring**.

### 1.1.1 Query params

www.example.com/?var1

www.example.com/?var1=1

www.example.com/?var1=1&var2=test&_var3=&__var4

www.example.com/?list_var=1&list_var=2&list_var=3

### 1.1.2 Query params w FastAPI

```python
from fastapi import Request

@app.get("/request_query_string_discovery/")
def read_item(request: Request):
    print(f"{request.query_params=}")
    return request.query_params
```

To co nas interesuje to: `request.query_params`
```python
type(request.query_params): <class 'starlette.datastructures.QueryParams'>
```

### 1.1.3 Struktura URL

Wszystko ma swoje granice Query string to część URI

```md
.  http://www.jakis-serwer.pl:8080/a/b/file?var1=1&var2=test&_var3=&__var4#fragment_dokumentu
   \__/   \_________________/\___/\_______/ \____________________________/ \________________/
     |             |           |      |                  |                         |
  schemat        host         port   path           querystring                fragment
(protokół)   (nazwa serwera)                                                    (hash)
```

- URI ma swoją maksymalną długość zależną od klienta HTTP/servera/proxy itp. np. IE obsługuję max 2,083 znaków
- Kodowaniem znaków dla URI jest standard ASCI
- Znaki __!	*	'	(	)	;	:	@	&	=	+	$	,	/	?	#	[	]__  są znakami zarezerwowanymi i muszą być escapowane (RFC 3986)
- Escapowanie odbywa się na podstawie kodowania znaków w przeglądarce (dla HTML5 jest to UTF-8)
- Escapujemy znakiem __%__ po którym następuje nr znaku ASCII np "__%__"	->	"__%25__"

### 1.1.4 Query params w FastAPI v2

```python
from typing import List
from fastapi import FastAPI, Query

@app.get("/request_query_string_discovery/")
def read_items(u: str = Query("default"), q: List[str] = Query(None)):
    query_items = {"q": q, "u": u}
    return query_items
```

### 1.1.5 Dokumentacja

Dokumentacja obiektu Request od Strarlette (obiekt requestu w FastAPI):
1. https://www.starlette.io/requests/
2. https://fastapi.tiangolo.com/advanced/using-request-directly/

Dokumentacja URI
1. URI RFC: https://tools.ietf.org/html/rfc2396
2. Kodowanie procentowe RFC: https://tools.ietf.org/html/rfc3986 
3. Przydatna tabela kodowania: https://www.w3schools.com/tags/ref_urlencode.ASP
4. Wiki dla leniwych: https://en.wikipedia.org/wiki/Uniform_Resource_Identifier

## 1.2 POST

- POST to drugie najpopularniejsze zapytanie jakie możemy wywołać z przeglądarki
- RFC 7231 specyfikuje metodę POST jako metodę służącą do dodania jakiegoś zasobu, przesłaniu danych które na stałe zmieniają stan serwera(danych) np: dodanie postu na blogu, komentarza, dodanie się listy mailingowej itp.
- Znaczenie metody jest oczywiście zwyczajowo przyjęte, zdarzają się nieoczywiste wyjątki
- POST jest traktowane przez przeglądarki z większą ostrożnością niż GET, np. zapytanie które jest przekierowane (302) na inny adres w trakcie odpytania "Traci" niesione dane.

### 1.2.1 FORM

Stadardowo każdy formularz w HTML wysyłany jest do serwera metodą POST wraz z serializowanymi danymi takimi jak pola formaularza np:
```html
<form action="/login" method="POST">
    <input name="login" placeholder="Your login" type="text" >
    <input name="password" placeholder="Your password" type="password">
    <button type="button"> login </button>
</form>
```

Zostanie przesłany jako request o następujących polach:
```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 30
Content-Type: application/x-www-form-urlencoded
```
```TEXT
login=daft&password=zexaeRL5PoeBsGYJ
```

### 1.2.2 JSON

- We współczesnych aplikacjach webowych częściej możemy spotkać się z wysłaniem wiadomości do serwera w formacie JSON.
- JSON jest specyfikowany w RFC 4627. Od momentu powstania wypiera XML który był najczęściej używanym formatem serializowania przesyłanych danych.

Przykładowy Request logowania wysłany do serwera w postaci JSONa

```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 39
Content-Type: application/json
```
```JSON
{"login":"daft","password":"zexaeRL5PoeBsGYJ"}
```


### 1.2.3 XML

- Coraz rzadziej spotkamy się z przesyłaniem POSTów w formacie XML
- Kiedyś podstawowy format przesyłania danych, dzisiaj spotkamy w starszych rozwiązaniach enterprisowych wielkich firm napisanych najczęściej w JAVA EE.
- XML jest formatem wykorzystanym w protokole SOAP. Bardzo modnym i kochanym np: przez Microsoft czy przemysł lotniczy

Przykładowy Request wysłany do serwera w postaci SOAP XML

```INI
POST /login HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Content-Length: 341
Content-Type: application/soap+xml; charset=utf-8
```

```XML
<?xml version="1.0"?>
<soap:Envelope
xmlns:soap="http://www.w3.org/2001/12/soap-envelope"
soap:encodingStyle="http://www.w3.org/2001/12/soap-encoding">

<soap:Body xmlns:m="http://www.example.org/login">
  <m:LoginData>
    <m:Login>daft</m:Login>
    <m:Password>zexaeRL5PoeBsGYJ</m:Password>
  </m:LoginData>
</soap:Body>

</soap:Envelope>
```

## 1.3 Rzadziej wspominane metody HTTP 1.1

### 1.3.1 HEAD

- Jest to metoda identyczna do metody GET jednak odpowiedź od serwera nie może nieść ze sobą danych
- Zawiera nawet długość odpowiedzi jaką odpowiedziałby metoda GET przy tych samych danych zapytania
- Stosowana zazwyczaj by sprawdzać istnienie i stan linków lub cache klienta
- Jeśli odpowiedź jest inna niż ta z cache klienta, cache powinien zostać wyczyszczony

### 1.3.2 CONNECT

- Zestawia połączenie z klienta z serwerem np tunel SSL

### 1.3.3 TRACE

- TRACE jest metodą służącą do debugowania.
- Serwer odpowiada na zapytanie TRACE jego własnym ciałem, znaczy odsyła `body` zapytania i wszystkie nagłówki jakie by normalnie odesłał na inne zapytanie.
- Zaletą tej metody jest używanie nagłówka `Max-Forwards` który pozwala na wysłanie zapytania z wartością liczbową wyższą lub równą 0. Element łańcucha przekierowań który dekrementując wartość tego nagłówka dostanie 0, odpowiada na zapytanie. Tą metodą można debugować przekierowania proxy i pętle przekierowań w systemie

### 1.3.4 PUT

- Metoda podobna do POST, przesyła dane do serwera tworząc zasób
- Różni się od POST tym że zasób powinien być stworzony pod adresem URL który odpytuje klient
- PUT może też zaktualizować zasób pod zadanym adresem URL
- Najważniejsze jest to że nie ważne czy zasób jest tworzony czy zaktualizowany, ciało zapytania PUT musi nieść wszystkie informacje potrzebne do stworzenia zasobu

### 1.3.5 PATCH

- Metoda podobna do PUT
- Zdefiniowana jako suplement do RFC 7231 w RFC 5789 (https://tools.ietf.org/html/rfc5789) 
- Różni się od PUT tym że umożliwia wysłanie niekompletnych danych ale tylko dla istniejących zasobów

### 1.3.6 DELETE

- DELETE jest metodą która z założenia ma usunąć dostęp do zasobu pod zadanym URL
- Podobnie jak PUT operuje na zasobach pod konkretnymi ścieżkami
- Działanie DELETE może skutkować usunięciem zasobu, ale zależnie od implementacji serwer może np oznaczyć taki zasób jako usunięty, lub przesunąć w inne miejsce
- Wiele zapytań pod ten sam adres dla delete powinno skutkować tą samą odpowiedzią serwera

### 1.3.7 OPTIONS

- Z założenia OPTIONS przesyła nagłówki mówiące o tym jakie metody mogą być wykonane na zasobie
- OPTIONS powinno przesłać też jakie opcjonalne nagłówki mogą znaleźć się w zapytaniu docelowym
- Odpowiedzi OPTIONS nie powinny być cachowane
- OPTIONS może w `Request URI` przekazać wildcard czyli `*` wtedy serwer odpowiada nie szczegółowo jakie obsługuje metody
- OPTIONS jak na ten moment nie niesie żadnych danych, ale przyszłe implementacje HTTP mogą wykorzystać tę opcję
- Jako ciekawostkę można powiedzieć że OPTIONS zazwyczaj poprzedza zapytanie. Np wszechobecne na froncie zapytanie Ajaxowe które wysłałby POST z JSONem do naszego endpointu w FAST API, najpierw wyśle zapytanie OPTIONS by upewnić że jest możliwość wysłania POSTa

## 1.4 Metody idempotentne

- Metody które z założenia zmieniają stan serwera tylko raz, bez znaczenia ilekroć wykonamy dane zapytanie, lub zwracają tę samą odpowiedź
- Za metody idempotentne uznajemy GET, HEAD, PUT oraz DELETE
- Np DELETE raz usunie zasób, nie uda się go usunąć bardziej, więc wielokrotna próba usunięcia zasobu skutkuje zawsze tym samym wynikiem
- ALE POST nie jest idempotenty, dodanie komentarza na blogu zawsze będzie skutkowało dodaniem kolejnego
- Z założenia GET też za każdym razem powinien odpowiedzieć tym samym zasobem jeśli zapytanie jest niezależne od czasu
- OPTIONS oraz HEAD nie zmieniają stanu zasobów więc też są z zasady idempotentne

# 2. Response

Przykładowy response po zalogowaniu użytkownika

```INI
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2258 23:11:55 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 138
Last-Modified: Wed, 11 Feb 2258 23:11:55 GMT
Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux)
ETag: "3f80f-1b6-3e1cb03b"
Accept-Ranges: bytes
Connection: close
```

```HTML
<html>
<head>
  <title>Logged in</title>
</head>
<body>
  Hello to the fututre logged in man.
</body>
</html>
```

## 2.1 Body

Podobnie jak zapytanie, odpowiedź może mieć wiele postaci.
Odpowiedź składa się z części nagłówkowej:
- Rozpoczynający to wersja protokołu HTTP i kod statusu odpowiedzi
- Kolejne nagłówki są opcjonalne i w większości różnią się miedzy serwerami HTTP, można je też dowolnie zmieniać wg prostej składni i zwyczajowych regół

```INI
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2258 23:11:55 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 138
Last-Modified: Wed, 11 Feb 2258 23:11:55 GMT
Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux)
ETag: "3f80f-1b6-3e1cb03b"
Accept-Ranges: bytes
Connection: close
```

- Po części nagłówkowej następuje jedna pusta linia
- Następnie tekstowa reprezentacja odpowiedzi (ASCI) wg. typu odpowiedzi zawartego w części nagłówkowej.

```HTML
<html>
<head>
  <title>Logged in</title>
</head>
<body>
  Hello to the fututre logged in man.
</body>
</html>
```

## 2.2 Status code

- Kody statusów zostały omówione na poprzednim wykładzie:
  - 1XX - Informacyjne
  - 2XX - Sukces(y)
  - 3XX - Przekierowania
  - 4XX - Błędy klienta
  - 5XX - Błędy serwera

- Najczęstszym kodem odpowiedzi na GET będzie status 200 świadczący o tym że dostaliśmy poprawną odpowiedź
- Dla zapytania POST najczęściej dostaniemy kod 200, ale przy najprostszych stronach zapytanie niosące dane formularza, inicjowana przez standardowy formularz HTML przekieruje (302) użytkownika na stronę z  rezultatem dodania zasobu
- Dla zapoznania się z kodami odpowiedzi warto przeczytać dokument RFC 7231 (https://tools.ietf.org/html/rfc7231) w którym autor opisuje standardową komunikację z serwerem HTTP na podstawie kodów odpowiedzi na poszczególne typy zapytań

# 3. HTML

## 3.1 Statyczny

- Bardzo często zdarzy się że nasz serwer będzie serwować statyczne assety (może to być plik html, obrazek itp)
- Statyczny HTML to może być też po prostu stringiem zapisanym w aplikacji np:

Podstawowa aplikacja FastAPI (bardzo prymitywny response): 
```python
from fastapi import FastAPI
from fastapi.responses import HTMLResponse

app = FastAPI()


@app.get("/", response_class=HTMLResponse)
def home():
    return """
    <html>
        <head>
            <title>Some HTML in here</title>
        </head>
        <body>
            <h1>Look ma! HTML!</h1>
        </body>
    </html>
    """
```

## 3.2 Dynamiczny

Dynamiczny HTML to taki do którego wygenerowania posłużyliśmy się zmiennymi danymi.
Może to być dowolna dana która ma wpływ na wyrenderowanie odpowiedzi

## 3.3 Szablony (templates)

- Najciekawszym w przypadku generowania HTMLa dynamicznie będą szablony odpowiedzi zwane dalej przez nas templatkami (en: templates)
- W świecie Python występuje wiele różnych silników renderowania templatek np:
    - Jinja2
    - Mako
    - Django Templates
- zazwyczaj to z jakiego silnika skorzystamy jest dowolne i nie jest narzucone przez frameworki webowe choć niektóre mają domyślne moduły renderujące

### 3.3.1 Jinja2

- Jeden z najczęściej wykorzystywanych silników renderowania szablonów.
- Charakteryzuje się dużą elastycznością i łatwością użycia
- Napisany tak by od razu można było programować z minimalną wiedzą czy doświadczeniem

```html
<html>
<head>
    <title>Item Details</title>
</head>
<body>
    <div class="container">
        <p>My string: {{my_string}}</p>
        <p>Value from the list: {{my_list[3]}}</p>
        <p>Loop through the list:</p>
        <ul>
        {% for n in my_list %}
            <li>{{n}}</li>
        {% endfor %}
        </ul>
    </div>
</body>
</html>
```

By wyrenderować taką templatkę możemy napisać bardzo krótki kawałek kodu w Python
```python
from fastapi import FastAPI, Request
from fastapi.templating import Jinja2Templates

app = FastAPI()
templates = Jinja2Templates(directory="templates")


@app.get("/items/{id}")
def read_item(request: Request, id: str):
    return templates.TemplateResponse("item.html", {"request": request, "my_string": "Wheeeee!", "my_list": [0,1,2,3,4,5]})
  ```

### 3.3.2 Mako

- Jeden z najwszechstronniejszych silników renderowania templatek
- Nie był jednak pisany z myślą o łatwości użytkowania, lecz z myślą o możliwościach przez co ma większy "próg wejścia"
- Miesza bloki Pythonowe z HTML
- Można w templatkach zawrzeć dowolną logikę pythona potrzebną w czasie renderowania
- Nie jest łatwo dostępny w FastAPI ale popularnie wykorzystać można go we Flask czy Pyramid

```html
<%
    some_element = my_list[3]
%>

<div class="container">
  <p>My string: ${my_string}</p>
  <p>Value from the list: ${some_element}</p>
  <p>Loop through the list:</p>
  <ul>
    % for n in my_list:
    <li>${n}</li>
    % endfor
  </ul>
</div>
```

By wyrenderować taką templatkę korzystamy z bardzo zbliżonego mechanizmu co w przypadku Jinja2
```python
from flask import Flask
from flask.ext.mako import MakoTemplates, render_template

app = Flask(__name__)
mako = MakoTemplates(app)

@app.route("/")
def template_test():
    return render_template('template.html', my_string="Wheeeee!", my_list=[0,1,2,3,4,5])

if __name__ == '__main__':
    app.run(debug=True)
  ```

# 4. Routing

- Praktycznie każda współczesna aplikacja wymaga routowania.
- Routing to mechanizm rzutowania ścieżki na konkretne funkcje procesujące zapytanie. Często nazywane widokami (Views)
- Routing w FastAPI ma wiele możliwości i może być statyczny lub dynamiczny
- Routing może być jeszcze bardziej zaawansowany jeśli samemu stworzymy dowolną logikę przetwarzającą `/path/`, niemniej by poprawnie wygenerować dokumentację w FastAPI używanie standardowych metod routingu jest preferowane

## 4.1 Statyczna ścieżka do widoku

```python
@app.get("/hello/")
def hello():
    return {"hello_world": "hello_world"}

```

## 4.2 Routing dynamiczny - Zmienne w PATH

```python
@app.get("/simple_path_tmpl/{sample_variable}")
def simple_path_tmpl(sample_variable: str):
    print(f"{sample_variable=}")
    print(type(sample_variable))
    return {"sample_variable": sample_variable}
```

- w nawiasach wąsatych umieszczamy nazwę zmiennej która później zostanie przekazana do naszej funkcji pod tą samą nazwą, zmienna rzutowana na typ podany w definicji parametru funkcji
- w ten sposób możemy odwoływać się do konkretnych zasobów np: po nazwie, id itp/

### 4.2.1 Pobieranie danych z requestu z automatycznym rzutowanie do typu

```python
objects = {
    1: {"field_a": "a", "field_b": "b"},
    2: {"field_a": "a", "field_b": "b"},
    3: {"field_a": "a", "field_b": "b"},
    # .... #
}

@app.get("/simple_path_tmpl/{obj_id}/{field}}")
def simple_path_tmpl(obj_id: int, field: str):
    print(f"{obj_id=}")
    print(f"{field=}")
    return {"field": objects.get(obj_id, {}).get(field)}
```

### 4.2.2 Obsługa dowolnej ścieżki

- Czasami istnieje potrzeba przesłania dowolnej ścieżki w zapytaniu
- dodając przed nazwą zmiennej w template URLa przedrostek `file_path:` skutkuje przepisanie całej pozostałej ścieżki z URLa do tej zmiennej.

```python
@app.get("/files/{file_path:path}")
def read_file(file_path: str):
    return {"file_path": file_path}
```

- __file_path__ daje możliwość przekazania dowolnej ścieżki
- FastAPI nie wymaga jednak by path było ostatnim elementem URL PATH
- można zmienne zapisać tak by URL PATH kończył się bardzo konkretnie np:
    - ```@app.get("/resource/{file_path:r_path}/modify")```
    - ```@app.get("/resource/{file_path:r_path}/modify/{field}")```

### 4.2.3 Obsługa różnych metod

- Domyślnie każda funkcja udekorowana jednym z dekoratorów odpowiada na jedno odpowiadające mu zapytania np: `@app.get` - > __GET__, poza HEAD. HEAD jest dostępne domyślne dla `@app.get`
- Funkcję można dekorować wielokrotnie dekoratorami różnych metod nawet z innymi ścieżkami czy wielokrotnie z różnymi ścieżkami.
- FastAPI nie limituje użycia wielu metod, niemniej obsługa przesyłanych zmiennych to wtedy zadanie dla programisty
 - ``` python
    from fastapi import APIRouter
```

### 4.2.4 Użycie routerów dla łatwiejszej organizacji kodem

- Nie od dziś wiadomo że w jednym pliku większych projektów raczej nie napiszemy, albo przynajmniej nie będzie to wg zasad Clean Code
- FastAPI posiada funkcję routerów które mogą grupować endpointy i organizować ścieżki do poszczególnych sekcji serwisu.

```python
from fastapi import APIRouter

router = APIRouter()


@router.get("/")
def read_items():
    return [{"name": "Item Foo"}, {"name": "item Bar"}]
```

- Router zachowuje się jak obiekt aplikacji `app = FastAPI()` i posiada wszystkie opcje aplikacji w kwestii przypisywania endpointów.
- można zdefiniować dowolną ilość routerów

```python
from fastapi import Depends, FastAPI, Header, HTTPException
from .routers import items, users

app = FastAPI()

app.include_router(users)
app.include_router(
    items,
    prefix="/items",
    tags=["items"],
)
```

- Routery z modułów aplikacji następnie importujemy do głównego modułu gdzie rejestrujemy je w głównym obiekcie aplikacji.
- Zasada działania routerów może przypominać `Blueprint` z Flask-a
- Rejestrując router dodatkowo można ustawić wiele rzeczy jak
    - `prefix` który będzie poprzedzał ścieżki zapisane w routerze
    - `tags` zestaw tagów dla lepszego dokumentowania
    - wszelkiego rodzaju middleware i inne opcje dla widoków FastAPI

- Może być tylko jedna funkcja odpowiadająca ścieżce i metodzie jednocześnie
    - Dla jednej ścieżki może być więcej funkcji odpowiadających za różne metody HTTP
    - Pierwsza udekorowana funkcja dla danej metody zostanie zarejestrowana w routerze.
    - Duplikaty nie zwracają błędów, ale nigdy nie są wykonywane

### 4.2.5 Dobre praktyki przy wersjonowaniu API

- Każde API ewoluuje, zwłaszcza na początku developmentu
- Dobrą praktyką jest wersjonowanie API i utrzymywanie czasami więcej niż jednej jego wersji by dać swoim użytkownikom czas na tranzycję do nowego API
- Wersjonowanie na poziomie routingu w aplikacji będzie najczęściej elementem ścieżki odpowiadającej za konkretną wersję np:
    - cool-api.co/path/to/resource/       -> Aktualny Default
    - cool-api.co/v1/path/to/resource/    -> API v1
    - cool-api.co/v2/other_path/resource/ -> Nowe API v2
- Default nie jest konieczny, niemniej ścieżka bez wersji API może być obsługiwana. Zależy od projektu i naszej woli.
- FastAPI można takie wersjonowanie stworzyć najwygodniej używając obiektów `APIRouter` z definicją prefiksu

```python
from fastapi import Depends, FastAPI, Header, HTTPException
from .routers import cool_api_router, cool_api_v2_router

app = FastAPI()

app.include_router(cool_api_router, tags=["api_default"])
app.include_router(cool_api_router, prefix="/v1", tags=["api_v1"])
app.include_router(cool_api_v2_router, prefix="/v2", tags=["api_v2"])
```

# 5. Headers

- Jak już wspominaliśmy każde zapytanie do serwera HTTP można podzielić na __HEADER__y oraz na __BODY__
- Nagłówki niosą tak samo ważne informacje dla serwera jak i treść samego zapytania
- Ilość Headerów jest dowolna ale są limity dotyczące sumarycznej długości wszystkich znaków w sekcji nagłówków i zależy to w dużej mierze od serwera HTTP.
    - Apache 2.0, 2.2: 8K
    - nginx: 4K - 8K
    - IIS: 8K - 16K (zależy od wersji)
    - Tomcat: 8K - 48K (zależy od wersji)

## 5.1 Budowa nagłówka

```md
 Header-Name: content; parameter_1=DATA; param2; param_n=xxx
 \_________/ \______/ \_______________/  \____/  \_________/
      |         |            |              |         |
   Header   zawartość   nazwa i wartość  atrybut  nazwa i wartość 
            nagłówka      atrybutu       boolean    atrybutu
                                          True
```

- Nagłówek rozpoczyna nazwa i kończy znak nowej linii
- Wielkość znaków w nazwie nagłówka czy nazw parametrów nie ma znaczenia
- Zawartość nagłówka zawiera się pomiędzy __":"__ a pierwszym wystąpieniem znaku __";"__
- Atrybuty nagłówka są opcjonalne i następują po znaku __";"__
- Atrybuty nie muszą mieć wartości, wtedy po prostu ich obecność oznacza opcję, zwyczajowo `True`

## 5.2 content-type: MIME Types

- Nagłówek typu treści w zapytaniu/odpowiedzi `content-type`
- MIME (Multipurpose Internet Mail Extensions)
- Typy MIME na początku były częścią protokołu pocztowego SMTP ale są tak dobrze przemyślane i popularne że są podstawowymi składowymi protokołów takich jak HTTP czy SIP
- W HTTP mime typ określa rodzaj zawartości wewnątrz wiadomości.
    - zawsze składa się z 2 części rozdzielonych ukośnikiem
    - typy MIME są standaryzowane
    - niestandaryzowane podtypy zaczynające się od `x-` 
    - Przykład nagłówka HTTP przekazującego typ MIME
        - ```Content-Type: application/json; charset=utf-8```
    - Typy tekstowe mogą zawierać parametr `charset` określający kodowanie znaków
    - Inne typy też mogą zawierać parametry np: Multipart __boundry__ (reszta w RFC)

## 5.3 Uwierzytelnianie i kontraola dostępu (Auth)

- Standard HTTP standaryzuje również nagłówek `Authorization`
- Serwer HTTP może uwiarygodnić klienta i przyznać dostęp do zasobów
- Autentykacja może odbyć się na wiele sposobów np:
    - Token
    - Basic Auth
    - Bearer
    - Digest
    - NTLM

### 5.3.1 BasicAuth

- Najprostszy sposób uwierzytelniania
- Nie gwarantuje bezpieczeństwa haseł!
    - Użytkownik i hasło są przesłane jedynie zakodowane w BASE64 więc generalnie w PLAIN TEXT!
- Bezpieczeństwo (częściowe) stanowi jedynie połączenie BasicAuth z HTTPS

```md
 Authorization: Basic user_name:password
 \___________/  \___/ \_______/ \______/
      |           |       |         |
    Header       typ    user      pass
             autoryzacji
```

- Całość następnie jest kodowane do BASE64 (wraz z dwukropkiem)
    - `user_name:password  -> dXNlcl9uYW1lOnBhc3N3b3Jk`
- Nagłówek zaś wygląda następująco:
    - `Authorization: Basic dXNlcl9uYW1lOnBhc3N3b3Jk`

## 5.4 Cookies

- Cookie to też header
- Aktualny format i specyfikację cookie można znaleźć w RFC 6265
- Cookie powstało by przechowywać małe ilości informacji w __bezstanowym__ protokole HTTP
- Cookie domyślnie jest przechowywane przez przeglądarkę i zawsze doklejane do kolejnych zapytań na danej stronie lub jej podstronach (o ile parametry nie mówią inaczej)

```md
 Set-Cookie: nazwa=wartość; expires=DATA; path=ŚCIEŻKA; domain=DOMENA; secure
 \________/ \____/ \_____/          \__/       \_____/         \____/  \____/
      |       |       |              |            |               |       |
   Header   nazwa   wartość  data wygaśnięcia/   path      ograniczenie  HTTPS 
           cookie   cookie   czas życia cookie                domeny     only
```

- Budowa Cookie
    - nazwa cookie - Konkretna nazwa pliku do którego zostanie wpisana wartość w ASCI bez znaków specjalnych
    - wartość - Dowolna wartość w ASCI bez znaków specjalnych (dlatego często kodowane w BASE64)
    - expires - Cookie może wygasać po zadanym czasie w sekundach, w określonej dacie lub nigdy
    - path - Ścieżka dla której cookie będzie dostępne
    - domain - Ograniczenie domenowe np do konkretnej subdomeny danej strony
    - secure - Nie przyjmuje wartości, określa ze cookie może być wykorzystane tylko HTTPS
- Cookie może przetrzymywać sesję użytkownika (domyślne dla wielu frameworków w python np.: Flask)
- Cookie to też nagłówek !! a nagłówki mają swoją maksymalną długość ograniczając wielość sesji użytkownika
- Cookie może być dowolnie usuwane przez przeglądarkę czy innego klienta, ale nie modyfikowane. ( w teorii)

### 5.4.1 Cookie a FastAPI

- Cookie w FastAPI deklarujemy w definicji funkcji tak samo jak każdy inny parametr

```python
from fastapi import Cookie, FastAPI

app = FastAPI()


@app.get("/items/")
def read_items(*, ads_id: str = Cookie(None)):
    return {"ads_id": ads_id}
```

- Dodanie cookie do odpowiedzi można zrobić na więcej niż jeden sposób
- Najłatwiej dodać cookie do obiektu Respone

```python
from fastapi import FastAPI, Response

app = FastAPI()


@app.post("/cookie-and-object/")
def create_cookie(response: Response):
    response.set_cookie(key="fakesession", value="fake-cookie-session-value")
    return {"message": "Come to the dark side, we have cookies"}
```

- Jak łatwo zauważyć obiekt Response nie musi być zwracany z funkcji widoku
- FastAPI za nas przefiltruje i odpowie odpowiednio zformatowaną odpowiedzią.

# 6. Sesja

- Protokół HTTP jest bezstanowy
- Sesja pozwala na zachowanie danych użytkownika w trakcie trwania interakcji z serwerem
- Przykłady sposobów przechowywania sesji:
    - Cookie - Najprościej zserializowaną sesję przechowywać w cookie, ma swoje limitacje, sesja przechowywana po stronie klienta
    - Redis / Memcached - Serwery szybkiego dostępu, przechowują pary klucz/wartość i idealnie nadają się do trzymania sesji na użytkownika po stronie serwera
    - SQL / noSQL - Postgres/MySQL/MongoDB - Czasami wykorzystuje się bazy danych do przechowywania sesji
    - FS - filesystem - Sesję można też przechować po prostu w plikach na serwerze

## 6.1 Sesja w FastAPI

- FastAPI na ten moment nie wspiera natywne mechanizmu sesji
- Ale wspiera Cookies, co za tym idzie można bez większego problemu samemu zaimplementować prosty system podtrzymywania sesji

```python
from hashlib import sha256
from fastapi import FastAPI, Response, Cookie, HTTPException

app = FastAPI()
app.secret_key = "very constatn and random secret, best 64 characters"


@app.post("/login/")
def create_cookie(user: str, password: str, response: Response):
    session_token = sha256(bytes(f"{user}{password}{app.secret_key}")).hexdigest()
    response.set_cookie(key="session_token", value=session_token)
    return {"message": "Welcome"}
```

```python
@app.get("/data/")
def create_cookie(*, response: Response, session_token: str = Cookie(None)):
    if session_token not in Database......... :
        raise HTTPException(status_code=403, detail="Unathorised")
    response.set_cookie(key="session_token", value=session_token)
```