# Génie Logiciel
## TD4- Interfaces webs

Il existe plusieurs frameworks en Python pour concevoir des applications webs. On peut notamment citer
* Flask
* Django
* FastAPI
* Streamlit
* Panel

Flask et Django font parties des frameworks les plus importants et les plus utilisés en Python. Flask est un micro-framework, il est donc moins complet que Django mais plus facile et rapide à mettre en place. FastAPI permet de concevoir des API REST (nécessaire si vous souhaitez rendre accessibles vos projets ou outils par le web). Streamlit et Panel sont des frameworks particuliers, puisqu'ils reposent intégralement sur Python (pas de HTML, CSS ou Javascript à écrire).

Dans ce cours, nous allons concevoir une simple interface web avec le micro-framework Flask, que nous complexifieront au fur et à mesure.

Source des exemples et tutoriels : https://www.tutorialspoint.com/flask/index.htm 

## Installation de Flask

In [1]:
!pip install Flask

Collecting Flask
  Downloading flask-2.3.3-py3-none-any.whl (96 kB)
[K     |████████████████████████████████| 96 kB 5.8 MB/s eta 0:00:011
[?25hCollecting click>=8.1.3
  Downloading click-8.1.7-py3-none-any.whl (97 kB)
[K     |████████████████████████████████| 97 kB 25.6 MB/s eta 0:00:01
[?25hCollecting blinker>=1.6.2
  Downloading blinker-1.6.2-py3-none-any.whl (13 kB)
Collecting Werkzeug>=2.3.7
  Downloading werkzeug-2.3.7-py3-none-any.whl (242 kB)
[K     |████████████████████████████████| 242 kB 46.8 MB/s eta 0:00:01
[?25hCollecting Jinja2>=3.1.2
  Using cached Jinja2-3.1.2-py3-none-any.whl (133 kB)
Collecting itsdangerous>=2.1.2
  Using cached itsdangerous-2.1.2-py3-none-any.whl (15 kB)
Collecting MarkupSafe>=2.0
  Downloading MarkupSafe-2.1.3-cp39-cp39-macosx_10_9_x86_64.whl (13 kB)
Installing collected packages: MarkupSafe, Werkzeug, Jinja2, itsdangerous, click, blinker, Flask
  Attempting uninstall: MarkupSafe
    Found existing installation: MarkupSafe 2.0.1
    Uninstalli

## Routing 

Créez un dossie "app", puis copiez-collez le code suivant dans un fichier "hello.py" dans le dossier courant.

In [None]:
from flask import Flask
app = Flask(__name__)

@app.route('/')
def hello_world():
   return "Hello World"

if __name__ == '__main__':
   
   # app.run()
   # debug = True nous permet de modifier le code et de voir les modifications directement en 
   # rechargeant la page, sans avoir à redémarrer le serveur
   app.run(debug = True)

Notez le décorateur @app.route(). Elle permet le "routing" c'est à dire faire correspondre une URL à une action dans le serveur. Il prend deux arguments :
* rule : URL qui mènera à cette action
* option : les différentes méthodes HTTP possibles (GET, POST...)

Ici, "/" indique la racine de notre application web. Ainsi, la fonction "hello_word()" sera déclenchée dès que l'on accèdera à l'URL racine de notre application.

Notez également l'appel de la méthode "app.run()" dans la section main du fichier .py. Elle permet de déclencher le serveur lorsque le fichier "hello.py" est exécuté.

Dans un terminal, naviguez jusqu'au dossier contenant "hello.py", puis exécutez la commande suivante :

In [None]:
!python hello.py

Cliquez ensuite dans l'URL indiquée dans le terminal : http://127.0.0.1:5000. Vous devriez atteindre une page affichant le message "Hello world".

Ajoutez le code ci-dessous à "hello.py", en remplaçant **votre_nom** par votre nom. N'oubliez pas de sauvegarder les modifications pour que le serveur les charge. 

Allez ensuite à l'adresse http://127.0.0.1:5000/**votre_nom**

In [2]:
@app.route("/votre_nom")
def hello_votre_nom():
   return "hello votre_nom"

NameError: name 'app' is not defined

## Variables de routing 

Plutôt que d'écrire en dur votre nom dans le routing, il est possible d'employer des variables. Celles-ci sont contenus entre chevrons dans l'URL ainsi qu'en argument de la fonction associée, comme ci-dessous :


In [None]:
@app.route("/<name>")
def hello_name(name):
   return f"hello {name}"

Remplacez la fonction "hello_votre_nom" par celle ci-dessus, puis chargez la page. Essayez d'employer des noms différents ou d'autres valeurs (numériques...) pour voir les résultats. Vous devriez avoir à chaque fois une page affichant le message "Hello 'nom'"


La fonction "url_for()" permet une plus grande flexibilité dans le routing.

Remplacez les fonctions de "hello.py" par celles ci-dessous : 

In [None]:
from flask import Flask, redirect, url_for

@app.route('/admin')
def hello_admin():
   return 'Hello Admin'

@app.route('/guest/<guest>')
def hello_guest(guest):
   return 'Hello %s as Guest' % guest

@app.route('/user/<name>')
def hello_user(name):
   # si nom est "admin", redirige vers la fonction hello_admin 
   if name =='admin':
      return redirect(url_for('hello_admin'))
   # sinon redirige vers la fonction hello_guest 
   else:
      return redirect(url_for('hello_guest',guest = name))

Allez ensuite à l'adresse 127.0.0.1:5000/guest/NOM en remplaçant NOM soit par "admin" soit par votre nom. Observez les différents résultats.

## Templates HTML Jinja

Jusque là, les fonctions associées à des URL permettaient d'afficher des pages Web avec du simple texte. En interne, Flask convertit les chaînes de caractères en tags HTML correspondant. Cependant, l'avantage de frameworks tels que Flask est de pouvoir générer des pages Webs dynamiques, affichant des informations issues du serveur. 

Pour cela, Flask emploie les templates Jinja, comme ci-dessous. 

Créez un dossier "templates", puis dans ce dossier, crée un fichier "hello.html", puis copiez-collez le code ci-dessous :

In [None]:
<!doctype html>
<html>
   <body>
   
      <h1>Hello {{ name }}!</h1>
      
   </body>
</html>

Ajoutez le code ci-dessous à votre fichier "hello.py", enregistrez les modifications, puis allez à l'adresse http://127.0.0.1:5000/hello/**user** .

Remarquez l'usage de la fonction "render_template()" dans laquelle on indique le nom du fichier html à afficher, ainsi que les variables correspondantes. Remarquez également que l'on indique seulement le nom du fichier, et pas le dossier template (Flask cherchera ces fichiers directement dans le dossier template)

In [None]:
from flask import Flask, redirect, url_for, render_template

@app.route('/hello/<user>')
def hello_name(user):
   return render_template('hello.html', name = user)


Remarquez le {{name}} dans le fichier "hello.html". Cette variable doit correspondre à la variable employée comme argument de la fonction et de l'URL. Jinja permet également d'employer des conditions if...else, ainsi que des boucles.

Ajoutez le code suivant à votre fichier "hello.py", puis créez un fichier "hello_if.html" avec le code suivant.

Accédez ensuite à l'adresse http://127.0.0.1:5000/hello/if/**score**, en essayant différentes valeurs pour score

In [None]:
@app.route('/hello/if/<int:score>')
def hello_if(score):
   return render_template('hello_if.html', marks = score)


In [None]:
<!doctype html>
<html>
   <body>
      {% if marks>50 %}
         <h1> Your result is pass!</h1>
      {% else %}
         <h1>Your result is fail</h1>
      {% endif %}
   </body>
</html>

Ajoutez le code ci-dessous à "hello.py", puis créez un fichier "hello_for.html" avec le code ci-dessous.

Accédez ensuite à l'adresse http://127.0.0.1:5000/result

In [None]:
@app.route('/result')
def result():
   dict = {'phy':50,'che':60,'maths':70}
   return render_template('hello_for.html', result = dict)


In [None]:
<!doctype html>
<html>
   <body>
      <table border = 1>
         {% for key, value in result.items() %}
            <tr>
               <th> {{ key }} </th>
               <td> {{ value }} </td>
            </tr>
         {% endfor %}
      </table>
   </body>
</html>

Remarquez ici que les conditions if...else ainsi que les boucles for sont contenues dans des accolades {{%%}} tandis que les variables sont contenues dans des accolades {{}}.

## Fichiers statics

Les applications Web ont souvent besoins de fichiers statics, en particulier les fichiers CSS, JS (javascript), mais aussi les images, etc. Pour Flask, il est nécessaire de stocker ces fichiers dans un dossier "static", comme il est nécessaire de stocker les templates HTML dans un dossier "templates".

Créez un dossier "static", dans lequel vous intégrerez le contenu suivant dans un fichier "style.css" et "hello.js" respectivement 


In [None]:
h1 {
    text-align: center;
}

In [None]:
function sayHello() {
   alert("Hello World")
}

Puis, remplacez le contenu de "hello.html" par le contenu ci-dessous. 

Accédez ensuite à l'adresse http://127.0.0.1:5000/hello/**nom**. Le texte doit normalement être centré sur la page.

In [None]:
<!doctype html>
<head>

    <link rel="stylesheet" type="text/css" href="/static/style.css">
    <script src="/static/hello.js"></script> 

</head>
<html>
   <body>
   
      <h1>Hello {{ name }}!</h1>
      <input type = "button" onclick = "sayHello()" value = "Say Hello" />
   </body>
</html>

## Protocoles HTTP

Les protocoles HTTP sont la base de la communication dans le Web. Les cinq principaux protocoles sont : 

* GET : envoie des données non-cryptées au serveur
* POST : Envoie des données sous forme de formulaire au serveur, qui ne sont pas conservées dans le cache
* HEAD : identique à GET, mais sans corps de réponse (permet de demander des informations sur les ressources)
* PUT : permet de remplacer ou d'ajouter une ressource au serveur
* DELETE : permet de supprimer une ressources

Les plus courantes sont GET, POST et HEAD. Ainsi, chaque protocole correspond à une requête que l'utilisateur fait au serveur.

Dans Flask, le routing emploie par défault le protocole GET. On peut cependant spécifier les protocoles à employer dans le second argument du routing, comme ci-dessous :

## Requêtes

Dans Flask, les requêtes sont accessibles via l'objet "request", qu'il faut importer

In [None]:
from flask import request


En premier lieu, on peut accéder aux arguments d'une requête GET à l'aide de l'attribut args.

Ajoutez le code suivant à "hello.py", puis accédez à l'url suivante, en remplaçant **name** (après le =) par votre nom : http://localhost:5000/request?name=**name**

In [None]:
@app.route('/request')
def request_name():
    # ici, on accède à la variable name de l'URL.
    # si cette variable n'existe pas, cela retourne None
   name = request.args.get('name')
   return name

Les principales attributs de requests sont :

* method : indique le protocole employée pour la requête (GET, POST...). 
* args : pour récupérer les arguments d'une requête GET
* form : pour récupérer les données envoyées sous forme de formulaire d'une requête POST ou PUT
* files : pour récupérer les fichiers transmis par une requête POST
* cookies : pour accéder et modifier les cookies
* json : pour récupérer et manipuler une requête envoyée au format JSON 

Tutoriel détaillée sur request : https://www.digitalocean.com/community/tutorials/processing-incoming-request-data-in-flask#prerequisites
Tutoriel sur les requêtes JSON : https://sentry.io/answers/flask-getting-post-data/

## Formulaires

L'envoie de données au serveur se fait à l'aide de formulaires et du protocole POST. 

Dans Flask, le protocole POST nous permet de récupérer les informations envoyées par le formulaires sous forme d'un dictionnaire. 

Dans le routing, la fonction correspondant à un formulaire doit avoir les protocoles GET et POST (alors que par défaut, elles n'ont que le protocole GET), comme dans la fonction result_form() ci-dessous.

Ajoutez les fonctions ci-dessous au fichier hello.py. 



In [None]:

@app.route('/student')
def student():
   return render_template('student.html')

@app.route('/result_form',methods = ['POST', 'GET'])
def result_form():
   if request.method == 'POST':
        # ici on récupère la requête sous forme de dictionnaire
      result = request.form
      # on emploie les données de result pour afficher la page result.html
      return render_template("result_form.html",result = result)


Ajoutez le code suivant dans un fichier "student.html". Notez que l'argument "action" du tag form dirige vers l'adresse "/result" et que l'argument method précise le protocole "POST".

In [None]:
<html>
   <body>
      <form action = "http://localhost:5000/result_form" method = "POST">
         <p>Name <input type = "text" name = "Name" /></p>
         <p>Physics <input type = "text" name = "Physics" /></p>
         <p>Chemistry <input type = "text" name = "chemistry" /></p>
         <p>Maths <input type ="text" name = "Mathematics" /></p>
         <p><input type = "submit" value = "submit" /></p>
      </form>
   </body>
</html>

Ajoutez le code ci-dessous dans un fichier "result_form.html".

Accédez ensuite à l'adresse http://127.0.0.1:5000/student, remplissez le formulaire et cliquez sur le bouton. 

In [None]:
<!doctype html>
<html>
   <body>
      <table border = 1>
         {% for key, value in result.items() %}
            <tr>
               <th> {{ key }} </th>
               <td> {{ value }} </td>
            </tr>
         {% endfor %}
      </table>
   </body>
</html>

## Afficher / flasher des messages

Dans une interface web, il est important d'intéragir avec l'utilisateur pour confirmer la validation d'une action ou non. Cela passe par l'envoi de messages. Dans Flask, on emploie la fonction flash() pour faire afficher des messages. 

Ajoutez le code ci-dessous à "hello.py"

In [None]:
from flask import flash 

@app.route('/index')
def index():
   return render_template('index.html')

@app.route('/login', methods = ['GET', 'POST'])
def login():
   error = None
   
   if request.method == 'POST':
    # erreur le username et password sont différents de admin
      if request.form['username'] != 'admin' or \
         request.form['password'] != 'admin':
         error = 'Invalid username or password. Please try again!'
      else:
        # on flash un message seulement si le login est réussi
         flash('You were successfully logged in')
         return redirect(url_for('index'))
    # que le login réussisse ou non, on retourne le template login.html
   return render_template('login.html', error = error)

Ajoutez le code ci-dessous à un fichier "login.html". Remarquez que le message d'erreur ne s'affiche que si la variable "error" est vraie. 



In [None]:
<!doctype html>
<html>
   <body>
      <h1>Login</h1>

      {% if error %}
         <p><strong>Error:</strong> {{ error }}
      {% endif %}
      
      <form action = "http://localhost:5000/login" method = "POST">
         <dl>
            <dt>Username:</dt>
            <dd>
               <input type = text name = username 
                  value = "{{request.form.username }}">
            </dd>
            <dt>Password:</dt>
            <dd><input type = password name = password></dd>
         </dl>
         <p><input type = submit value = Login></p>
      </form>
   </body>
</html>

Pour accéder aux messages flashés, il faut appeler la fonction "get_flashed_messages()" dans le template (voir ci-dessous). 

Ajoutez le code ci-dessous à un fichier "index.html"

In [None]:
<!doctype html>
<html>
   <head>
      <title>Flask Message flashing</title>
   </head>
   <body>
      {% with messages = get_flashed_messages() %}
         {% if messages %}
            <ul>
               {% for message in messages %}
               <li>{{ message }}</li>
               {% endfor %}
            </ul>
         {% endif %}
      {% endwith %}
		
      <h1>Flask Message Flashing Example</h1>
      <p>Do you want to <a href = "{{ url_for('login') }}">
         <b>log in?</b></a></p>
   </body>
</html>

## Charger des fichiers 

De la même manière que l'on peut envoyer des données textuelles via des formulaires au serveur, il est possible de transférer des données comme des fichiers. 


Ajoutez le code ci-dessous à un fichier "upload.html".

Pour pouvoir charger des fichiers, l'argument "enctype" du tag "form" doit avoir la valeur "multipart/form-data". Remarquez également que le formulaire dirige vers l'URL "/uploader"

In [None]:
<html>
   <body>
      <form action = "http://localhost:5000/uploader" method = "POST" 
         enctype = "multipart/form-data">
         <input type = "file" name = "file" />
         <input type = "submit"/>
      </form>
   </body>
</html>

Ajoutez le code ci-dessous à "hello.py". Remarquez que "/uploader" emploie les protocoles GET et POST

Pour accéder au fichier, on doit accéder à l'attribut "file['file']" de request

Remarquez également l'emploie de la fonction secure_name(), qui permet de contrôler que le nom du fichier chargé est valide.

Accédez ensuite à l'adresse http://localhost:5000/upload, puis chargez un fichier de votre choix. Le fichier doit apparaître dans votre dossier "app" une fois chargé.

In [None]:
from werkzeug.utils import secure_filename

@app.route('/upload')
def upload():
   return render_template('upload.html')
	
@app.route('/uploader', methods = ['GET', 'POST'])
def uploader():
   if request.method == 'POST':
      f = request.files['file']
      filename = secure_filename(f.filename)
      f.save(filename)
      return 'file uploaded successfully'

Vous pouvez préciser le dossier où charger les fichiers par défaut avec l'options suivante (il existe d'autre options pour gérer différents paramètres, comme la taille maximale des fichiers autorisées) :

* app.config[‘UPLOAD_FOLDER’] : dossier où charger les fichiers

Ces arguments s'emploient après la définition de l'application Flask (voir exemple ci-dessous)

In [None]:
app = Flask(__name__, static_url_path='/static')

# ici on spécifie le nom du dossier
app.config["UPLOAD_FOLDER"] = 'files'
# ici on crée ce dossier
os.makedirs('files', exist_ok='True')

Remplacez ensuite la ligne "f.save(filename)" par la ligne suivante :

In [3]:
file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))

NameError: name 'file' is not defined

## Extensions Flask

Flask est appelé micro-framework puisque le package ne contient que les éléments de bases pour créer une application web. Cependant, de nombreuses autres fonctionnalités sont disponibles, comme la gestion de bases de données, l'envoi de mail, la sécurité... Ici, nous verrons seulement l'extension Flask-WTF, qui permet de sécuriser l'envoi d'informations via des formulaires.

Pour une liste des extensions disponibles, voir :
* https://flask.palletsprojects.com/en/2.3.x/extensions/
* https://pypi.org/search/?c=Framework+%3A%3A+Flask


## Flask-WTF

Un utilisateur peut intéragir avec le serveur et les bases de données derrière par l'intermédiaire des formulaires. Cependant, un utilisateur mal intentionné peut provoquer des dégâts très importants voir irrémédiables si l'on ne prend pas garde (exemple attaques CSRF). Il est donc important de sécuriser tous les champs dans lesquels l'utilisateur peut entrer du texte. 

L'extension "Flask-WTF" permet d'intégrer cette sécurité aux formulaires. Elle doit être installée via pip.

Documentation : https://flask-wtf.readthedocs.io/en/1.0.x/ 

In [None]:
!pip install flask-wtf

Collecting flask-wtf
  Downloading Flask_WTF-1.1.1-py3-none-any.whl (12 kB)
Collecting WTForms
  Downloading WTForms-3.0.1-py3-none-any.whl (136 kB)
[K     |████████████████████████████████| 136 kB 6.5 MB/s eta 0:00:01
Installing collected packages: WTForms, flask-wtf
Successfully installed WTForms-3.0.1 flask-wtf-1.1.1


Avec Flask-WTF, on remplace le formulaire HTML par du code Python.

Dans un fichier "forms.py", ajoutez le code ci-dessous : 


In [5]:
from flask_wtf import FlaskForm
from wtforms import StringField
from wtforms.validators import DataRequired

class ContactForm(FlaskForm):
    name = StringField('name', validators=[DataRequired()])

ImportError: cannot import name 'TextField' from 'wtforms' (/Users/nicolasgutehrle/opt/anaconda3/envs/cours/lib/python3.9/site-packages/wtforms/__init__.py)

Puis dans "hello.py", importez la class ContactForm du fichier "forms", et ajoutez le code ci-dessous :

In [None]:
from forms import ContactForm

@app.route('/success')
def success():

    return "Success !"

@app.route('/contact', methods=["GET", "POST"])
def contact():
   form = ContactForm()
   if form.validate_on_submit():
      print(form.errors)

      return redirect(url_for('success'))

   return render_template('contact.html', form = form)


Ajoutez le code suivant à une page "contact.html", puis accédez ensuite à l'adresse suivante, remplissez le formulaire et envoyez la requête. Vous devriez arriver sur une page de succès : http://localhost:5000/contact.

Essayez également de soumettre le formulaire sans le remplir.

Remarquez {{ form.csrf_token }}, qui doit être présent pour sécuriser le formulaire

In [None]:
<!doctype html>
<html>
   <body>
    <form method="POST" action="{{ url_for('contact') }}">
        {{ form.csrf_token }}
        {{ form.name.label }} {{ form.name(size=20) }}

        {% if form.name.errors %}
            <ul class="errors">
                {% for error in form.name.errors %}
                    <li>{{ error }}</li>
                {% endfor %}
            </ul>
        {% endif %}

        <input type="submit" value="Go">
    </form>

   </body>
</html>

## Clé secrète

Pour sécuriser l'application et générer un token CSRF, l'application doit avoir une clé secrète. Celle-ci doit être idéalement complexe, et générée aléatoirement. Il ne faut pas stocker la clé secrète dans le code ! Au lieu de ça, on peut la stocker dans une variable d'environnment "SECRET_KEY" ou bien dans un fichier de configuration, qui sera disponible pour le dévelopement, mais qui ne sera pas mis en production. 

Le code ci-dessous permet de rapidement créer des clés secrètes.

Source : 
* https://flask.palletsprojects.com/en/2.3.x/config/
* https://stackoverflow.com/questions/30873189/where-should-i-place-the-secret-key-in-flask

In [1]:
!python -c 'import secrets; print(secrets.token_hex())'

3c41a632f609d6d5a28707838bcb58f9969400614e929ed0db32ca50db4da49d


## Modèle MVC

Le modèle Modèle-Vue-Controler (MVC, Model View Controler) est un des modèles d'architecture de logiciel les plus populaires. Elle se divise en trois parties :

* la Vue correspond à ce que voit l'interface, et donc à l'interface graphique. C'est à partir de la vue que l'utilisateur intéragit avec l'application. Dans les applications Webs, la Vue correspond aux fichiers HTML. 
* le Modèle contient les données à afficher. Typiquement, il correspond à la base de données derrière l'application. De manière générale, le Modèle concerne toutes étapes de traitement des données.
* le Contrôleur fait la jonction entre la Vue et le Modèle. Il permet d'enclencher les actions du côté Modèles et de mettre à jour la vue. Cela correspond au routing. 

<img src="MVC.png">

Ainsi jusque là, nos templates HTML correspondent à la Vue de notre application et le fichier "hello.py" qui contient les routing correspond au Contrôler. Pour le moment, nous n'avons pas de code correspondant au Modèle

Documentation :
* https://www.tutorialspoint.com/mvc_framework/mvc_framework_introduction.htm
* https://fr.wikipedia.org/wiki/Mod%C3%A8le-vue-contr%C3%B4leur 

## Pour aller plus loin

Il reste plusieurs choses que l'on a ignorées dans Flask et en général dans la création et gestion d'interfaces web, en particulier :
* les cookies
* redirection en fonction des erreurs
* les extensions Flask
* les sessions