In [None]:
import httpx
import json

In [None]:
url_server = 'https://3103-159-149-168-137.ngrok-free.app'

# OAuth 2.0 in Python

## Caso d'uso: Implementazione lato client del flusso di autorizzazione Client Credentials previsto da OAuth 2.0

La maggior parte delle piattaforma social media permettono l'accesso ai dati posseduti dagli utenti e conservati sulle piattaforme stesse mediante API. In particolare mediante API strutturate secondo il paradigma RESTful, ossia accedibili ed utilizzabili inviando delle richieste HTTP.

L'autorizzazzione all'accesso delle risorse √® gestito principalmente mediante il protocollo OAuth 2.0. Il protocollo prevede 4 flussi di autorizzazione, tuttavia il flusso principale utilizzato per applicaziondi di social media analysis e mining √® il **Client Credentials**.

Il flusso prevede tre attori:
- l'applicazione o **client**: in questo caso l'applicazione che stiamo utilizzando per la raccolta dei dati
- il **server di autorizzazione**: il server che concede l'autorizzazione espressa da un token di accesso o **access token**.
- il **server delle risorse**: il server che rende disponibili le risorse associate agli endpoint una volta presentato un access token valido.

Nella seguente figura viene rappresentato con un maggior dettaglio il flusso di autorizzazione. In sostanza viene eseguita una singola interazione HTTP data Request -> Response

![](OAuth2_CC.png)

Nel nostro caso il server di autorizzazione √® disponibile all'indirizzo `3103-159-149-168-137.ngrok-free.app` il quale rende disponibile il token endpoint `/auth/token`. Il meccanismo di autenticazione previsto dal flusso Client Credentials √® HTTP Basic, mentre il corpo della richiesta - inviata mediante il metodo POST di HTTP - contiene almeno la coppia chiave/valore
```
grant_type=client_credentials
```

Il server autentica il client e restituisce una risposta in formato JSON.

Di seguito vengono riportate la richiesta HTTP inviata al server di autorizzazione, cos√¨ come creata da un HTTP Client
```http
POST /auth/token HTTP/1.1
host: localhost:7550
user-agent: python-httpx/0.27.0
content-length': 29
accept: */*
accept-encoding: gzip, deflate,
authorization: Basic ZDAzZWJkYzVjZWE2YmI1OWI1NmZhYWI5ZWE2YmQ0MmQ6RGZnSW1NSXRLM2VQS2hGS3p5N0FjWFp1MVJuTnVEN3R1RmZGd2MteEdjUQ==
content-type: application/x-www-form-urlencoded
```

e la risposta inviata da server:
```http
HTTP/1.1 200 OK
content-length: 209
content-type: application/json
date: Thu, 07 Mar 2024 19:39:11 GMT
ngrok-trace-id: 4d1f778e4c12aa3079d5c3c976ea8c3b
server: uvicorn

{
"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjbGllbnRfaWQiOiJkMDNlYmRjNWNlYTZiYjU5YjU2ZmFhYjllYTZiZDQyZCIsImV4cCI6MTcwOTg0MTI1MX0.E40I9hSaClaZoMJJeuYo1HpHT3I-df_CcD3IG1qVGes",
"token_type":"bearer"
}
```

Prima di implementare il flusso per ottenere l'access token, solitamente si deve registrare un'applicazione presso il server di autorizzazione. In generale il meccanismo di registrazione varia a seconda della piattaforma scelta. Nella maggior parte dei casi lo sviluppatore deve registrarsi alla piattaforma che fonrnisce le API e creare un'applicazione. Il processo di creazione dell'applicazione restituisce due informazioni necessarie:
- il `client_id`: identificativo dell'applicazione creata. E' univoco nella piattaforma
- il `client_secret`: la credenziale confidenziale - stessa funzione di una password - anch'essa generata automaticamente dalla piattaforma.

Nel nostro caso di studio, la piattaforma fornisce un endpoint per la registrazione dell'applicazione. L'endpoint √® `/auth/register` e la richiesta viene effettuata mediante il metodo `PUT` di HTTP.

In base a queste indicazione richiediamo la creazione di un'applicazione e salviamo in un file `app_credentials.json` la risposta JSON del server che contiene le credenziali di autenticazione dell'applicazione

In [None]:
# Registrazione
credentials_app = httpx.put(f'{url_server}/auth/register').json()

In [None]:
json.dump(credentials_app, open('app_credentials.json','w'))

In [None]:
credentials_app = json.load(open('app_credentials.json'))
credentials_app

{'client_id': '3756c3316ecde7038cfb1e1e27061739',
 'client_secret': 'SYtWw38x4-lNioTDVcDy0qTtXAZNzeSTln-CGhiJA9E',
 'scopes': ''}

In [None]:
auth_data = {'grant_type':'client_credentials'}
response_token_json = httpx.post(f'{url_server}/auth/token', 
auth = (credentials_app['client_id'], credentials_app['client_secret']),
data = auth_data
).json()
response_token_json

{'access_token': 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjbGllbnRfaWQiOiIzNzU2YzMzMTZlY2RlNzAzOGNmYjFlMWUyNzA2MTczOSIsImV4cCI6MTcwOTg5MTU5NH0.PqHR4iTeOLxebi3GHm5nNr8W06V8pf5hFxFl8oEjP3E',
 'token_type': 'bearer'}

Implementiamo ora il flusso di autorizzazione client credentials utiilizzando le credenziali salvate. Come primo esercizio definiamo la richiesta corretta che in breve deve:
- utilizzare il metodo POST
- inviare `client_id` e `client_secret` mediante HTTP Basic Authentication
- inviare nel campo body il tipo di flusso da seguire

La risposta √® in formato JSON e pu√≤ essere salvata anch'essa in un file.

Assegniamo il valore dell'access token ad una variabile `access_token`

In [None]:
access_token = response_token_json['access_token']
access_token

'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjbGllbnRfaWQiOiIzNzU2YzMzMTZlY2RlNzAzOGNmYjFlMWUyNzA2MTczOSIsImV4cCI6MTcwOTg5MTU5NH0.PqHR4iTeOLxebi3GHm5nNr8W06V8pf5hFxFl8oEjP3E'

Una volta ottenuto l'access token, possiamo effettuare le richieste agli endpoint esposti dal server delle risorse (il server delle risorse solitamente ha lo stesso domain name del server di autorizzazione).

Le applicazione basate da data gathering - collezione di dati - basato su API Social solitamente utilizzano solo il metodo di richiesta GET in quanto nel paradigma RESTful viene associato alle operazione di lettura che non modificano lo stato delle entit√† modellate dagli endpoint. 

In una richiesta che utilizza un access token, esso viene solitamente inserito nello header della richiesta. Nello specifico si deve specificare il seguente header:
```http
Authorization: Beare <access token>
```

Il formato della risposta solitamente √® JSON mentre i campi dell'oggetto JSON dipende dall'entit√† modellata.

Nel nostro caso richiediamo un post all'endpoint `GET /posts/auth_post`. Questo endpoint restituisce una risposta corretta solo se viene utilizzato un access token valido.

Prima di effettuare una richiesta aggiungo lo header relativo all'access token, proviamo ad effettuare una richiesta senza il token di autorizzazione

In [None]:
header_auth = {'Authorization' : f'Bearer {access_token}'}
pechino_json = httpx.get(f'{url_server}/posts/auth_post', 
headers= header_auth).json()
pechino_json

{'text': '\n    üö® Exciting News for Reality TV Fans! üö®\n\nThe adventurous journey begins anew! #PechinoExpress launches its latest season tonight, promising thrilling challenges and unparalleled explorations. üåç‚úàÔ∏è\n\nTune in to witness the extraordinary adventures unfold. #AdventureReality #TVShowPremiere\n        ',
 'creator': '3756c3316ecde7038cfb1e1e27061739',
 'num_like': 30,
 'date': '2032-04-23T10:20:30',
 'location': 'Milan'}

Ora possiamo effettuare la richiesta corretta, inserendo lo header di autorizzazione. Facciamo sempre riferimento al QuickStart di httpx per capire come modificare lo header HTTP prima di effettuare una richiesta. 

La risposta deve essere solo assegnata ad una variabile e visualizzata.

{'access_token': 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjbGllbnRfaWQiOiIwYTdkYTZkNTYzNDdkZmViYmE0N2I2ZGEzZGE4MjZhZiIsImV4cCI6MTcwOTg5MDM0Nn0.lWOV05LgNuAz0QEYt0E4GgLRVpvOv1JT8JX6eGvjqJs',
 'token_type': 'bearer'}

Abbiamo quindi terminato la nostra esperienza con il flusso **Client Credential** di OAuth2.0. 

<a style='text-decoration:none;line-height:16px;display:flex;color:#5B5B62;padding:10px;justify-content:end;' href='https://deepnote.com?utm_source=created-in-deepnote-cell&projectId=719483a6-3904-41c6-9273-05489b500703' target="_blank">
 </img>
Created in <span style='font-weight:600;margin-left:4px;'>Deepnote</span></a>