## **Clase 4. Resumen Intensivo - Construcción de APIs Modernas con FastAPI + Cursor IA**

### Teoría:

* ¿Qué es una API REST?
* ¿Por qué FastAPI? Ventajas frente a Flask y Django.
* Instalación de FastAPI + Uvicorn
* Estructura básica de un proyecto FastAPI
* Introducción a Cursor IA como asistente para desarrollo con IA

### Práctica:

1. **Primer “Hola Mundo” con FastAPI**
   Crea un endpoint simple:


In [None]:
from fastapi import FastAPI

app = FastAPI()

@app.get("/")
def read_root():
    return {"message": "Bienvenido a tu primera API con FastAPI"}


2. **Ejecución con Uvicorn**

   ```bash
   uvicorn main:app --reload
   ```

3. Explorar automáticamente la documentación en `/docs` y `/redoc`.



---

### Parte 2. Teoría:

* Introducción a modelos de datos con Pydantic
* Operaciones CRUD (Create, Read, Update, Delete)
* Validaciones automáticas desde los modelos

### Práctica guiada:

1. **Crear un modelo de datos `Item`** con validación:


In [None]:
from pydantic import BaseModel

class Item(BaseModel):
    name: str
    price: float
    description: str | None = None


2. **Implementar operaciones CRUD in-memory**:

   * `POST /items/`
   * `GET /items/`
   * `GET /items/{item_id}`
   * `PUT /items/{item_id}`
   * `DELETE /items/{item_id}`


### main.py

In [None]:
from fastapi import FastAPI, HTTPException
from pydantic import BaseModel
from typing import Dict

app = FastAPI(title="API CRUD In-Memory", version="1.0")

# Modelo de datos
class Item(BaseModel):
    name: str
    price: float
    description: str | None = None

# Base de datos simulada (en memoria)
fake_db: Dict[int, Item] = {}
id_counter = 0  # Simula un autoincremento

@app.get("/")
def read_root():
    return {"message": "Bienvenido a tu primera API con FastAPI"}

@app.post("/items/", status_code=201)
def create_item(item: Item):
    global id_counter
    id_counter += 1
    fake_db[id_counter] = item
    return {"id": id_counter, "item": item}

@app.get("/items/")
def get_items():
    return fake_db

@app.get("/items/{item_id}")
def get_item(item_id: int):
    if item_id not in fake_db:
        raise HTTPException(status_code=404, detail="Item no encontrado")
    return fake_db[item_id]

@app.put("/items/{item_id}")
def update_item(item_id: int, updated_item: Item):
    if item_id not in fake_db:
        raise HTTPException(status_code=404, detail="Item no encontrado")
    fake_db[item_id] = updated_item
    return {"message": "Item actualizado", "item": updated_item}

@app.delete("/items/{item_id}")
def delete_item(item_id: int):
    if item_id not in fake_db:
        raise HTTPException(status_code=404, detail="Item no encontrado")
    deleted = fake_db.pop(item_id)
    return {"message": "Item eliminado", "item": deleted}


**Ejecución con Uvicorn**

   ```bash
   uvicorn main:app --reload
   ```


---

3. **Validaciones comunes**:

   * Campos obligatorios
   * Longitud mínima
   * Rangos numéricos


Actualizar código con:


In [None]:
from pydantic import BaseModel, Field, field_validator

class Item(BaseModel):
    name: str = Field(
        ...,
        min_length=3,
        max_length=50,
        description="Nombre del producto"
    )
    price: float = Field(
        ...,
        gt=0,
        description="Precio del producto (mayor que 0)"
    )
    description: str | None = Field(
        default=None,
        max_length=200,
        description="Descripción opcional del producto"
    )
    stock: int = Field(
        ...,
        ge=0,
        le=1000,
        description="Cantidad en stock (0 a 1000)"
    )

    # Decorador de Pydantic que indica que esta función valida el campo "name"
    @field_validator("name")
    # Define una función de clase que se ejecuta al validar el campo "name"
    # cls: hace referencia a la clase del modelo (no se usa dentro de esta función, pero se debe incluir por convención en validadores de clase)
    # v: es el valor que se desea validar (en este caso, el contenido del campo "name")
    def name_must_be_clean(cls, v):
    # Verifica si el valor tiene espacios en blanco al inicio o al final
        if v.strip() != v:
        # Si los tiene, lanza un error de validación con un mensaje explicativo
            raise ValueError("El nombre no debe tener espacios al inicio o al final")
    # Si el valor no tiene espacios indebidos, lo retorna tal cual
        return v


---

## **Autenticación Básica y Seguridad**

### **Teoría:**

#### 1. Principios de autenticación y autorización en APIs

* **Autenticación**: Verifica la identidad del usuario (¿quién eres?).
* **Autorización**: Controla el acceso a recursos según permisos (¿qué puedes hacer?).
* En APIs REST, se aplican generalmente mediante encabezados (`headers`), tokens (`JWT`), o mecanismos simples como Basic Auth para prototipos o servicios internos.

#### 2. Autenticación HTTP Basic

* Método simple en el que el cliente envía su **usuario y contraseña** en el encabezado `Authorization`, codificados en Base64.
* **Ejemplo** del header:

  ```
  Authorization: Basic dXNlcjpwYXNzd29yZA==
  ```

#### 3. Seguridad con dependencias (`Depends`)

* FastAPI permite integrar autenticación y autorización mediante dependencias reutilizables, ayudando a mantener un código limpio y modular.

#### 4. Buenas prácticas en producción

* Nunca almacenar contraseñas en texto plano. Usar `hashlib` o `passlib`.
* Usar HTTPS siempre.
* Limitar el uso de autenticación básica a entornos controlados.
* Registrar intentos fallidos y proteger contra fuerza bruta.
* Utilizar tokens temporales (`JWT`, OAuth2) en ambientes productivos.

---

###  **Práctica: Agregar seguridad básica con `Depends`**

#### Paso 1: Instalación

```bash
pip install fastapi[all]
```

#### Estructura sugerida

```
.
├── main.py
└── security.py
```

---

#### `security.py`: dependencia de autenticación básica



In [None]:
# security.py
from fastapi import Depends, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials
from passlib.context import CryptContext
import secrets

# Inicializa el esquema de encriptación
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Simulación de "base de datos" de usuarios
fake_users_db = {
    "admin": pwd_context.hash("1234")  # Esto en producción estaría en BD, no en memoria
}

security = HTTPBasic()

def authenticate(credentials: HTTPBasicCredentials = Depends(security)):
    username = credentials.username
    password = credentials.password

    if username not in fake_users_db:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario no encontrado",
            headers={"WWW-Authenticate": "Basic"},
        )

    hashed_password = fake_users_db[username]
    password_valid = pwd_context.verify(password, hashed_password)

    if not password_valid:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Contraseña incorrecta",
            headers={"WWW-Authenticate": "Basic"},
        )

    return username


---

#### `main.py`: aplicación protegida



In [None]:
from fastapi import FastAPI, Depends
from security import authenticate

app = FastAPI()

@app.get("/")
def public_route():
    return {"message": "Esta ruta es pública"}

@app.get("/private")
def private_route(user: str = Depends(authenticate)):
    return {"message": f"Bienvenido, {user}. Esta es una ruta protegida."}


### Ejercicio

* Un sistema de autenticación básica usando `HTTPBasic` y `passlib`.
* Múltiples usuarios con sus contraseñas en una “base de datos simulada”.
* Un endpoint público y otro protegido.
* Buenas prácticas como separación de lógica y modularidad.

---

##  Estructura del Proyecto

```
.
├── main.py             # Punto de entrada principal
├── security.py         # Lógica de autenticación
└── users_db.py         # "Base de datos" simulada
```

---

##  `users_db.py`: Base de datos simulada con contraseñas hasheadas



In [None]:
from passlib.context import CryptContext

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# Hasheamos las contraseñas una vez
# En producción, esto vendría de una base de datos real
fake_users_db = {
    "admin": {
        "username": "admin",
        "hashed_password": pwd_context.hash("admin123"),
        "roles": ["admin"]
    },
    "user1": {
        "username": "user1",
        "hashed_password": pwd_context.hash("userpass"),
        "roles": ["user"]
    }
}


> Puedes correr este script una vez para generar hashes fijos, y luego pegarlos directamente en el diccionario para evitar rehash dinámico.

---

## `security.py`: Lógica de autenticación con `Depends`



In [None]:
from fastapi import Depends, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials
from users_db import fake_users_db, pwd_context
import secrets

security = HTTPBasic()

def authenticate(credentials: HTTPBasicCredentials = Depends(security)):
    username = credentials.username
    password = credentials.password

    user = fake_users_db.get(username)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Usuario no encontrado",
            headers={"WWW-Authenticate": "Basic"},
        )

    if not pwd_context.verify(password, user["hashed_password"]):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Contraseña incorrecta",
            headers={"WWW-Authenticate": "Basic"},
        )

    return user  # Retornamos todo el objeto usuario


---

##  `main.py`: API con rutas protegidas y públicas



In [None]:
from fastapi import FastAPI, Depends
from security import authenticate

app = FastAPI(title="Demo de Autenticación Básica")

@app.get("/")
def read_public():
    return {"message": " Esta es una ruta pública. No requiere autenticación."}

@app.get("/dashboard")
def read_dashboard(current_user: dict = Depends(authenticate)):
    return {
        "message": f" Bienvenido {current_user['username']} al panel de control.",
        "roles": current_user["roles"]
    }

@app.get("/admin-only")
def read_admin_area(current_user: dict = Depends(authenticate)):
    if "admin" not in current_user["roles"]:
        return {"error": " Acceso restringido: se requiere rol de administrador."}
    return {"message": f" Bienvenido al área de administración, {current_user['username']}!"}
