<a href="https://colab.research.google.com/github/GonzaloMartin/Python-Bootcamp/blob/main/Unidad_07/Python_Bootcamp_Clase_07.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

<img src="https://raw.githubusercontent.com/GonzaloMartin/Python-Bootcamp/refs/heads/main/Assets/python_bootcamp_banner1.png" width="400">

# **Python Bootcamp orientado a la Automatización**

La idea es entender los fundamentos de cómo viajan los datos en Internet, cómo funcionan los protocolos que usamos todos los días y cómo llevar todo eso al entorno de Python.

# Unidad 7

El objetivo de la clase es obtener la primera experiencia de trabajo con programación aprendiendo los siguientes temas.

* APIs y JSON
* APIs web - APIs REST
* RESTful
* Formato JSON
* Autenticación y autorización contra API
* Serialización

La clase incluye teoría y práctica sobre cada tema.

***
## ¿Que es una API?

API es el acrónimo de `Aplication Programming Interface`, indicando que es un conjunto de reglas que permite que dos aplicaciones se comuniquen entre sí.

Las API simplifican y aceleran el desarrollo de aplicaciones y software permitiendo a los desarrolladores integrar datos, servicios y capacidades de otras aplicaciones, en lugar de desarrollarlas desde cero para cada plataforma.

Es útil pensar en la comunicación de la API en términos de una solicitud y respuesta entre un cliente y un servidor. La aplicación que envía la solicitud es el cliente y el servidor proporciona la respuesta. La API es el puente que establece la conexión entre ellos.

***
### APIs web - APIs REST

Las APIs web permiten la comunicación entre sistemas a través de internet. Las APIs REST son un tipo específico de API web que sigue el estilo arquitectónico REST (Representational State Transfer), usando métodos HTTP como:

* GET (obtener datos)
* POST (crear datos)
* PUT (actualizar datos)
* DELETE (eliminar datos)

***
#### REST - RESTful

Una API se considera RESTful si cumple con los principios REST:

* Sin estado (stateless)
* Uso de métodos HTTP
* Recursos representados por URLs
* Comunicación mediante JSON o XML

***
### Formato JSON (JavaScript Object Notation)

Es un formato ligero de intercambio de datos, fácil de leer y escribir para humanos y máquinas.

Por ejemplo:
```json
{
  "nombre": "Matias",
  "rol": "Empleado",
  "activo": true
}
```

### Sintaxis de JSON

En JSON existen dos tipos de elementos:

- Matrices (arrays): Las matrices son listas de valores separados por comas. Las matrices se escriben entre corchetes [ ]<br>
  ✅
  ```json
  [1, "pepe", 3.14, "José Sand"]
  ```

- Objetos (objects): Los objetos son listas de pares nombre / valor. El nombre y el valor están separados por dos puntos : y las parejas están separadas por comas. Los objetos se escriben entre llaves { } y los nombres de las parejas se escriben siempre entre comillas dobles.<br>
  ✅
  ```json
  {"nombre": "José Sand", "edad": 40, "carnet de conducir": true}
  ```

- Tanto en los objetos como en las matrices, el último elemento no puede ir seguido de una coma.<br>
  ❌
  ```json
  {"nombre": "José Sand",}
  ```

- Los espacios en blanco y los saltos de línea no son significativos, es decir, puede haber cualquier número de espacios en blanco o saltos de línea separando cualquier elemento o símbolo del documento.<br>
  ✅
  ```json
  [
    {
      "nombre": "José Sand",
      "edad": 40,
      "carnet de conducir": true
    },
    {
      "nombre": "Jesús Dátolo",
      "edad": 38,
      "carnet de conducir": false
    }
  ]
  ```

- Los valores (tanto en los objetos como en las matrices) pueden ser:
  - números: enteros, decimales o en notación exponencial. 
    - El separador decimal es el punto .
    - Un número negativo empieza por el signo menos -
    - El indicador de la notación exponencial es e o E. 
    - Los números positivos no pueden empezar por el signo +
    - Los números no pueden empezar por varios ceros o por un cero seguido de otra cifra.
  - cadenas. Las cadenas se escriben entre comillas dobles. 
    - Los caracteres especiales y los valores Unicode se escriben con una contrabarra \ delante. 
    - Los caracteres que deben escribirse siempre como caracteres especiales son>
      - \" (comillas)
      - \\ (contrabarra)
      - \b (retroceso)
      - \f (salto de página)
      - \n (salto de línea)
      - \r (retorno de carro)
      - \t (tabulador)
      - Caracteres unicode (\u...) 
      - El carácter / (barra) puede escribirse como carácter / o como carácter especial \/ (suele ser necesario cuando el contenido es código html y la barra indica un cierre de etiquetas).
  - Los valores true, false y null. 
    - Estos valores se escriben sin comillas.
  - Objetos y matrices. 
    - Puede haber objetos y matrices dentro de objetos y de matrices, sin límite de anidamiento.

Los ficheros JSON no pueden contener comentarios.

***
### Autenticación y autorización contra APIs 

- La autenticación API verifica quién realiza la solicitud; la autorización API determina a qué pueden acceder.
- Los métodos de autenticación comunes incluyen autenticación básica, API key, JSON web tokens (JWT), OAuth 2.0 y otras.

#### Autenticación básica

La autenticación básica es uno de los métodos más sencillos. Se trata de un esquema de autenticación basado en HTTP que permite a los clientes autenticarse con un servidor enviando un nombre de usuario y una contraseña en texto plano como parte de la solicitud HTTP.

Cuando un cliente realiza una solicitud a un servidor que requiere autenticación básica, este responde con un código de estado 401 No autorizado, que indica que se requiere autenticación. La respuesta también incluye un encabezado WWW-Authenticate que especifica que el servidor utiliza autenticación básica.

Para autenticarse, el cliente envía otra solicitud al servidor con el encabezado de autorización incluido en el encabezado de la solicitud HTTP, que contiene la palabra "Basic" seguida de una cadena codificada en base64 con el nombre de usuario y la contraseña. Por ejemplo, "Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" representa las credenciales "username:password" codificadas en base64.

Si bien la autenticación básica es fácil de implementar, presenta varias limitaciones de seguridad. La más importante es que los nombres de usuario y las contraseñas se envían en texto plano, lo que los hace vulnerables a escuchas ilegales y ataques de intermediario, entre otros.

##### TL;DR

- Qué enviar:
El encabezado 'Authorization' con el valor 'Basic' seguido de tus credenciales (nombre de usuario y contraseña) codificadas en Base64. 

- Ejemplo:
            ```json
            Authorization: Basic YXBpX3VzZXI6c2VjcmV0UGFzczEyMw==.
            ```

- Importante:
Siempre utiliza HTTPS para proteger tus credenciales, ya que se envían en texto plano después de la codificación. 

#### Autenticación por API key

La autenticación basada en clave API implica el envío de una clave API junto con la solicitud. Una clave API es un identificador único emitido por el proveedor de la API a usuarios o aplicaciones autorizados y se utiliza para identificar y rastrear el uso de la API.

Para usar una API que requiere autenticación basada en clave, el usuario o la aplicación incluye la clave de API como parámetro en la solicitud, generalmente como encabezado (recomendado) o como parámetro de consulta. El uso de encabezados mejora la seguridad al evitar que las claves de API se expongan en URL, que pueden registrarse o almacenarse en caché.

La autenticación basada en clave API proporciona una alternativa más segura y escalable a la autenticación básica, ya que la clave API se puede revocar o regenerar fácilmente si se ve comprometida y permite al proveedor de API monitorear y brindar control de acceso a la API de manera más granular.

Sin embargo, la autenticación basada en claves API presenta algunas limitaciones. Por ejemplo, si una clave API se ve comprometida, un atacante puede obtener acceso a la API hasta que se revoque la clave.

##### TL;DR

- Qué enviar:
La API Key se incluye en un encabezado personalizado, como 'X-API-Key', o en otro lugar definido por la API, que contiene una cadena alfanumérica única y compleja. 

- Ejemplo:
            ```json
            X-API-Key: tu_clave_api_unica_y_secreta. 
            ```

- Importante: Este método es más seguro que Basic Auth, ya que no expone el nombre de usuario y la contraseña directamente en cada solicitud, pero debes asegurar la confidencialidad de tu API Key. 

#### Autenticación basada en JWT

Los JWT (JSON Web Tokens) son un medio compacto y seguro para URL que representa las peticiones que se transfieren entre las partes.

 Los JWT constan de tres partes separadas por puntos: un encabezado, una carga útil y una firma. El encabezado especifica el algoritmo utilizado para firmar el token, la carga útil contiene la petición y la firma se utiliza para verificar la integridad del token.

 Los JWT se utilizan a menudo para la autenticación y autorización en aplicaciones web. Cuando un usuario inicia sesión, el servidor genera un JWT que contiene información sobre el usuario, como el ID del cliente y los permisos. El JWT se firma con una clave secreta que solo el servidor conoce. El servidor envía el JWT al cliente, que puede usarlo para acceder a recursos protegidos en el servidor.

 los JWT no se limitan a un solo protocolo. Pueden usarse de forma independiente en esquemas de autenticación personalizados basados ​​en tokens donde se requiere la gestión de sesiones sin estado.

 Cuando el cliente envía una solicitud al servidor, incluye el JWT en un encabezado de autorización. El servidor verifica la firma del JWT mediante la clave secreta y, si la firma es válida, extrae las reclamaciones y las utiliza para autorizar la solicitud.

Los JWT se utilizan ampliamente en las API REST, ya que permiten la transmisión sin estado de datos de autenticación y autorización entre el cliente y el servidor.

##### TL;DR

- Qué enviar: El encabezado 'Authorization' con el valor Bearer seguido del Token Web JSON. 

- Ejemplo:
            ```json
            Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.... 
            ```

- Cómo funciona:
    - Inicio de sesión: El cliente envía credenciales (nombre de usuario/contraseña) para obtener un JWT.
    - Generación: El servidor genera el JWT con información del usuario y lo firma.
    - Verificación: El cliente incluye el JWT en las solicitudes posteriores en el encabezado Authorization.
    - Autorización: El servidor verifica la firma del JWT y autoriza la solicitud basándose en la información dentro del token, sin necesitar las credenciales originales en cada petición. 

***
### Serialización

La serialización es el proceso de convertir un objeto (en el contexto de POO) en un formato que pueda ser almacenado o transmitido (como JSON o XML). 

La deserialización es el proceso inverso, en dónde obtienes un formato usado para transmisión (como JSON) y lo transformas en un objeto fácilmente manipulable por el código.

#### ¿Por qué es necesaria?

Las APIs a menudo necesitan comunicarse con diferentes sistemas que pueden estar escritos en distintos lenguajes de programación. Formatos como JSON o XML son universales y permiten a cualquier cliente o servidor entender los datos.

#### Python: Módulo 'json'

La biblioteca 'json' es el estándar para trabajar con datos en formato JSON, el cual es comúnmente utilizado por las APIs.

- 'json.dumps()' se utiliza para convertir un objeto Python (como un diccionario) a una cadena JSON.
- 'json.loads()' para convertir una cadena JSON de vuelta a un diccionario de Python, que puedes manipular fácilmente desde el código.

Ejemplo:
```python
import json

# Objeto Python (un diccionario)
datos_python = {"nombre": "Ejemplo", "id": 123}

# Serialización: Convierte a JSON
datos_json = json.dumps(datos_python)
print(datos_json)  # Salida: '{"nombre": "Ejemplo", "id": 123}'

# Deserialización: Convierte de JSON a objeto Python
datos_recibidos = json.loads(datos_json)
print(datos_recibidos) # Salida: {'nombre': 'Ejemplo', 'id': 123}
```

