# Módulo 0 — Plano do Módulo: Flask & Django (Aprendizado Investigativo)




# Escopo e abordagem do módulo

Este módulo parte do pressuposto de que você já cursou **FULL STACK** no 1º semestre e possui noções básicas de **desenvolvimento web**: HTTP, rotas, templates, MVC/MVT, ORM, HTML/CSS/JS e Python.  
**Não revisaremos essa teoria** aqui; o foco é **aplicar** e **evoluir código existente**.

No mercado de trabalho é comum ingressar em projetos já em andamento e precisar **analisar, entender e aprimorar código** rapidamente. Por isso, neste módulo:

**Não haverá explicação teórica nem passo a passo.**  
Você receberá **apenas o código-fonte** (projeto já funcional). Com base **exclusivamente** nesse código, você deverá **entender como tudo funciona** e **realizar melhorias pontuais**.

---

## O que você deve fazer
- **Ler e reconstruir o fluxo**: da URL à view, da view ao serviço/ORM, e a saída (template/JSON).
- **Mapear responsabilidades**: regras de negócio, validações, acesso a dados, renderização.
- **Detectar fragilidades**: acoplamento excessivo, duplicações, nomes confusos, lógica fora de lugar.
- **Refatorar de forma incremental** e segura, mantendo o sistema funcional.
- **Responder às perguntas de verificação** (abaixo); se não souber, volte ao código e aprofunde a leitura.

---

## Regras do jogo
- **O código é a fonte primária.**  
- Consulta a docs é permitida, mas **a referência final é o projeto entregue**.  
- **Sem reescrever do zero**: objetivo é **entrar** e **evoluir** um projeto existente.

---

## Perguntas obrigatórias de verificação (devem ser respondidas)
> Se alguma resposta não estiver clara, revise o código até conseguir responder com segurança.

1. **Roteamento e fluxo**
   - Qual é o caminho completo da requisição para **/login** (ou rota principal) até a resposta?
   - Quais middlewares/decorações interferem no processamento?
   - Quais parâmetros de rota e query são aceitos e onde são validados?

2. **Views/Controladores**
   - Onde está a lógica de **validação** de entrada e onde **não deveria** estar?
   - Quais responsabilidades da view podem ser extraídas para serviços/helpers?

3. **Modelo/ORM e persistência**
   - Quais **modelos** e **relacionamentos** existem? Onde estão as **restrições** (unique, nullability, índices)?
   - Onde ocorrem **transações** e como são tratadas falhas (rollback/erros)?

4. **Templates/Apresentação**
   - O que o template espera receber? Há **lógica excessiva** no template?
   - Como está o **escape** de dados de usuário (XSS)?

5. **Autenticação/Autorização e Sessão**
   - Como o sistema **autentica** o usuário? Onde ficam permissões/autorização?
   - Como a **sessão** é criada, renovada e finalizada?

6. **Segurança**
   - Onde há proteção a **CSRF**? Há risco de **SQL Injection** (consultas cruas)?
   - Que **segredos** existem e como são carregados (variáveis de ambiente)?

7. **Qualidade e testabilidade**
   - Onde há **duplicação**/acoplamento alto? Como reduzir?
   - Quais partes são **difíceis de testar** e como modularizá-las?

8. **Observabilidade**
   - Que **logs** existem por request? O que falta logar?
   - Existem códigos de **status HTTP** coerentes com os cenários de erro?

9. **Desempenho**
   - Quais consultas podem causar **N+1**? Onde caberia **cache** (view/fragmento/consulta)?
   - Há carregamento desnecessário de dados no caminho crítico?

---

## Checklist de avaliação (marque ✓ quando estiver plenamente entendido)
> O estudante será avaliado pela **compreensão demonstrável** e pela **capacidade de responder às perguntas** acima com precisão.

- [ ] **Fluxo de requisição** mapeado (URL → view → serviço/ORM → saída).
- [ ] **Pontos de validação** identificados e adequação discutida.
- [ ] **Modelos/relacionamentos** compreendidos; restrições e índices localizados.
- [ ] **Riscos de segurança** (CSRF/XSS/SQLi/segredos) apontados e mitigação proposta.
- [ ] **Responsabilidades** bem distribuídas (view fina, serviço/coisas do domínio fora de template).
- [ ] **Cheiros de código** (duplicação, nomes, acoplamento) identificados e refatorações sugeridas.
- [ ] **Tratamento de erros** e **códigos de status** coerentes.
- [ ] **Logs e métricas** essenciais definidos (o que logar e por quê).
- [ ] **Consultas e desempenho** analisados (N+1, cache, payloads).
- [ ] **Respostas às perguntas obrigatórias** completas, objetivas e tecnicamente corretas.

---

## O que **não** faremos aqui
- Não revisaremos **HTTP, MVC/MVT, ORM, HTML/CSS/JS**.  
- Não forneceremos **comandos de ambiente ou deploy**.  
- Não haverá **passo a passo** de implementação teórica.

---

## Resultado esperado
Você demonstra que consegue **entrar em um código alheio**, **entender sua arquitetura mínima**, **responder com precisão às perguntas críticas** e **propor melhorias incrementais** mantendo o sistema funcional.


### Módulo 1 — Projeto em Django

Você receberá um **aplicativo Django já funcional**, com:
- instruções sucintas de **como rodar**,
- **código-fonte completo**,
- **estrutura de pastas** definida.

Com base **exclusivamente** nesse material (e além das *perguntas obrigatórias gerais* do módulo), responda também às **perguntas específicas de Django** abaixo.  
> Se não souber responder com segurança, volte ao código e aprofunde a leitura até entender.

---

## Perguntas específicas — Módulo 1 (Django, baseadas no projeto entregue)

> Responda somente com base no **código do projeto**.

1) **Arquitetura e Configurações**
- Onde estão `settings.py`, `urls.py` (do projeto) e `wsgi.py`? Como eles se relacionam com o app `app`?
- Quais apps estão em `INSTALLED_APPS` e o que a inclusão de `app` habilita?

2) **Templates e Contexto**
- Onde o projeto aponta a pasta de templates? Quais *context processors* relevantes estão ativos?
- Qual é o **template base** e como os demais templates o estendem?

3) **Roteamento e Fluxo**
- Qual é o caminho completo da URL `/login/` até a view efetivamente usada?
- Como a URL raiz `/` chega à view que retorna a **home protegida**?

4) **Autenticação, Sessão e Redirecionamentos**
- Como o projeto exige autenticação para a home? Onde está definido o destino pós-login e pós-logout?
- Qual é o comportamento de `/logout/` e por que ele usa **POST**?

5) **Forms e Validação**
- No **login**, qual formulário é renderizado e como o CSRF é tratado?
- No **signup**, onde ocorre a validação de usuário/senha e a checagem de duplicidade?

6) **Mensagens e UX**
- Onde o projeto **adiciona mensagens** (feedback) e onde elas são exibidas?

7) **Modelos e Persistência**
- O projeto define modelos próprios? Se não, qual modelo de usuário é utilizado e de onde ele vem?

8) **Segurança**
- Quais proteções estão configuradas globalmente via *middleware*?
- Onde há uso explícito de **CSRF** nos templates? Existe risco evidente de XSS nas renderizações?

9) **Navegação e UI**
- Como a navegação é implementada no `base.html` (links/botões) e como o **logout** é disparado?
- A home mostra alguma informação sensível? O acesso está corretamente restringido?

10) **Ambiente e Boas Práticas**
- Quais flags de ambiente e região estão definidas (idioma, fuso)? O `DEBUG` está ativado? Quais são as implicações?
- Há algo a ajustar para produção (segredos, `ALLOWED_HOSTS`, estáticos)?

11) **URLs e Namespaces**
- Quais **names** de URL estão disponíveis e onde são definidos? Há conflitos/ambiguidade?

12) **Observabilidade básica**
- Onde saem mensagens de erro/sucesso para o usuário? Há *logging* ou apenas *messages*?


> As respostas estarão disponíveis no módulo 1


### Módulo 2 — Projeto em Flask

Você receberá um **aplicativo Flask já funcional**, com:
- instruções sucintas de **como rodar**,
- **código-fonte completo**,
- **estrutura de pastas** definida.

Com base **exclusivamente** nesse material (e além das *perguntas obrigatórias gerais* do módulo), responda também às **perguntas específicas de Flask** abaixo.  
> Se não souber responder com segurança, volte ao código e aprofunde a leitura até entender.

---

## Perguntas específicas — Módulo 1 (Flask, baseadas no projeto entregue)

> Responda somente com base no **código do projeto** (`/app.py`, `templates/`, `.env`, `static/`).

1) **Arquitetura geral**
- Onde está criada a aplicação Flask e quais módulos do Flask são usados (renderização, sessão, mensagens)?
- O projeto utiliza banco de dados/ORM? Onde os **usuários** são armazenados e como são validados?

2) **Rotas e fluxo**
- Quais rotas existem e qual é o fluxo da página inicial até a página protegida de **Home**?
- O que cada rota faz: `"/"`, `"/login" (GET/POST)`, `"/register" (GET/POST)`, `"/logout"`, `"/home"`?

3) **Autenticação e sessão**
- Como o login autentica um usuário e persiste sua identidade na **sessão**?
- O que o *decorator* `login_required` faz e quando ele redireciona?
- Como é feito o **logout** e há implicações de segurança por ser acessado via **GET**?

4) **Senhas e segurança**
- Como as senhas são tratadas (armazenamento e verificação)? Onde ocorre o **hash** e qual função o verifica?
- Quais proteções de segurança são visíveis no código (ex.: uso de `flash`, checagens básicas, política para rotas protegidas)?
- Há algo que mereça melhoria (ex.: método do logout, proteção contra *CSRF* em formulários)?

5) **Templates e UI**
- Qual é o **template base** e como os demais templates o estendem?
- Onde e como as **mensagens flash** são exibidas?
- Como a navegação (links de login/logout/home) se adapta ao estado de sessão?

6) **Variáveis de ambiente e configuração**
- O que é lido do arquivo `.env` e como impacta a aplicação?
- Como o modo **debug** é controlado?

7) **Funcionalidade de Clima**
- De onde vem a cidade padrão para consulta de clima?
- Como funciona a **geocodificação** da cidade e a busca de **clima atual** (APIs, campos retornados, fallback)?
- O que é exibido quando a API não retorna dados?

8) **Separação de responsabilidades**
- Onde está a lógica de **controle** (rotas/fluxo), de **apresentação** (templates) e de **integração externa** (APIs de geocodificação/clima)?
- Há trechos de lógica que poderiam ser extraídos para funções auxiliares/módulos?

9) **UX e validação**
- Quais validações existem no **login** e no **register** (campos obrigatórios, usuário duplicado)?
- Que feedback o usuário recebe em cada caso (sucesso/erro)?

10) **Pontos de melhoria (engenharia)**
- Cite duas melhorias de **segurança** e duas de **manutenibilidade** que você faria mantendo o comportamento atual.
