![](https://ds04.infourok.ru/uploads/ex/0284/0006308b-76e13799/img4.jpg)

## DNS
### имя в IP

```
nslookup sprotasov.ru
```
выдаст
```
Name:   sprotasov.ru
Address: 192.34.57.61
```
или даже просто 
```
ping sprotasov.ru
```
выдаст
```
PING sprotasov.ru (192.34.57.61) 56(84) bytes of data.
64 bytes from sprotasov.ru-code-test.ru (192.34.57.61): icmp_seq=1 ttl=55 time=124 ms
```
### IP в имя

```
nslookup 192.34.57.61
```
получим
```
61.57.34.192.in-addr.arpa       name = sprotasov.ru-code-test.ru.
```
`in-addr.arpa` - специальная доменная зона для "разворота IP". name такое, потому что машинке ассоциированы 2 домена

## TCP
Для подключения по TCP к любому сервису, который использует TCP как транспортный уровень, можно 
```
telnet sprotasov.ru 80
nc -v sprotasov.ru 80
```
Откроется TCP сессия

## HTTP
HTTP-протокол прикладного уровня для передачи текстовых данных. Состоит из запроса с методом (`POST /index.html HTTP/2.0`), заголовков (`Header-Name: Header-Value`) и, возможно, тела. Минимальный запрос будет выглядеть так:
```
HEAD / HTTP/1.0
host: sprotasov.ru
```
Вы получите ответ от сервиса, состоящий из заголовков и кода возврата, а соединение сразу закроется
```
HTTP/1.1 200 OK
X-Powered-By: Express
Accept-Ranges: bytes
Cache-Control: public, max-age=0
Last-Modified: Wed, 24 Oct 2018 08:10:01 GMT
ETag: W/"19f3-166a51f930e"
Content-Type: text/html; charset=UTF-8
Content-Length: 6643
Date: Tue, 27 Nov 2018 16:21:58 GMT
Connection: close
```
Начиная с версии 1.1 протокол HTTP умеет не закрывать сессии, следовательно, снижает накладные расходы
```
HEAD / HTTP/1.1
host: sprotasov.ru
```
А теперь попробуйте в той же сессии
```
HEAD / HTTP/1.1
HOST: code-test.ru
```
Вы увидите другой ответ, потому что на этой машине расположены 2 сайта. А также попробуйте
```
GET / HTTP/1.1
HOST: sprotasov.ru
```
Вам вернётся HTML-документ, который вам обычно показывает браузер. Получить его содержимое можно с помощью утилит curl/wget, например так:
```
curl sprotasov.ru
curl sprotasov.ru:80
curl http://sprotasov.ru
```
В чём разница?

## SSL
Попробуем зайти на сайт Вышки:
```
telnet www.hse.ru 443
GET / HTTP/1.1
host: www.hse.ru

HTTP/1.1 400 Bad Request
Server: nginx
Date: Tue, 27 Nov 2018 16:28:11 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 264
Connection: close

<html>
<head><title>400 The plain HTTP request was sent to HTTPS port</title></head>
...
```
Ой. Тут нужно поговорить про SSL, сертификаты и Certification Authority. Можно посмотреть сертификат в браузере. Про то, что TCP может возить не только текстовые данные, но вообще всё, что угодно, например, зашифрованный контент. А поверх TCP может работать, например, SSL (secure sockets layer). Чтобы начать общаться, нужно обменяться ключами. Это может за вас сделать утилита openssl:
```
openssl s_client -connect www.hse.ru:443
```
Эту утилита будет зашифровывать и расшифровывать данные на концах соединения, а передаваться всё будет в зашифрованном виде. А дальше как обычно.
```
GET / HTTP/1.1
host: www.hse.ru
```
Чтобы получить именно контент, достаточно curl:
```
curl https://www.hse.ru/
curl https://www.hse.ru:443/
```

In [25]:
# python example: как подключаться к машинкам
# и парсить XML

import requests
from lxml import etree

url = "http://sprotasov.ru"
resp = requests.get(url)
print(resp.status_code)

text = resp.text
dom = etree.fromstring(text)

for node in dom.getchildren():
    print(node.tag)
    for node2 in node.getchildren():
        print("\t" + node2.tag)
        for node3 in node2.getchildren():
            print("\t\t" + str(node3.tag))

200
head
	meta
	link
	link
	link
	link
	link
	script
	script
	script
	script
	script
	title
body
	h3
	div
		div
		<cyfunction Comment at 0x7fa42974c3e0>
		div
		div
		div
		div
		<cyfunction Comment at 0x7fa42974c3e0>


In [26]:
# python example: как подключаться к машинкам
# и парсить JSON

url = "http://sprotasov.ru/data/dsa.txt"
resp = requests.get(url)
print(resp.status_code)

text = resp.text
jsn = resp.json()
print(type(jsn))
for item in jsn:
    print(type(item), item)

200
<class 'list'>
<class 'dict'> {'image': '', 'url': '/files/dsa.pdf', 'author': 'Stanislav Protasov', 'description': 'Tutorial guide for the course of Data Structures and Algorithms', 'parentId': None, 'id': '4000', 'title': 'Data structures and algorithms: tutorial guide', 'contentType': 'course', 'tags': ['DSA']}
<class 'dict'> {'image': '', 'url': '/files/lion.pdf', 'author': 'Stanislav Protasov', 'description': 'Lecture on text search techniques for small and large datasets', 'parentId': None, 'id': '4001', 'title': 'Catching a lion in a desert', 'contentType': 'presentation', 'tags': ['DSA']}


 ## Авторизация и аутентификация
**Аутентификация** - подтверждение "личности". "Я тот, за кого себя выдаю". Например, вот моё лицо, вот мой паспорт.

**Авторизация** - мне можно делать то, что я хочу.

Для поддержки аутентификации в протоколе HTTP есть заголовок `Authorization: TYPE Something`. Например `Authorization: Basic bG9naW46MTIzcGFzcw==` означает, что мы хотим по аутентифицироваться парой логин-пароль `login/123pass` с помощью basic-аутентификации.

In [38]:
import base64
login, passwd = "sprotaso", "123pass"
token = base64.b64encode(bytes("{}:{}".format(login, passwd), 'ascii'))
print(str(token))

b'c3Byb3Rhc286MTIzcGFzcw=='


Например, попробуем подлючиться к сервису c basic-аутентификацией.
```
openssl s_client -connect sal.dhl.ru:443
HEAD / HTTP/1.1
HOST: sal.dhl.ru
```
Получим ответ
```
HTTP/1.1 401 Unauthorized
Content-Length: 1656
Content-Type: text/html
Server: Microsoft-IIS/7.5
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
WWW-Authenticate: Basic realm="sal.dhl.ru"
X-Powered-By: ASP.NET
Date: Wed, 28 Nov 2018 08:58:50 GMT
```
`401` - код ответа, который обозначает "не прошёл аутентификацию".

`403` - код ответа, обозначающий "аутентифицирован, но не имеешь доступа к этому ресурсу".

Чтобы передать туда логин и пароль:
```
HEAD / HTTP/1.1
HOST: sal.dhl.ru
Authorization: Basic что-то
```

[**Digest**](https://ru.wikipedia.org/wiki/%D0%94%D0%B0%D0%B9%D0%B4%D0%B6%D0%B5%D1%81%D1%82-%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F) - более продвинутая форма аутентификации, построенная на тех же принципах, но использующая соль и хэширование, что делает её использование относительно безопасным через "голый" HTTP.
Браузеры поддеживают Basic/Digest аутентифиуцию из коробки, попробуйте зайти на сайт https://sal.dhl.ru.

Вопрос: почему использование Basic-аутентификации поверх HTTPS допустимо?

## On behalf
Использование логинов-паролей хорошо работало в эру "тонких клиентов", когда сервис целиком предоставлялся через браузер. Сегодня сервис может использовать толстый клиент, например, приложение в телефоне, этих клиентом может быть много и они могут совершать действия без явного указания пользователя ([IFTTT](https://ifttt.com/)). Например, Telegram и TelegramX, всякие альтернативные instagram-клиенты или даже клиенты, которые умеют кросс-постить (запостить в инсту, а ещё в твиттер и фейсбук). Поэтому сегодня часто актором является связка пользователь+приложение, которое выполняет действия **на правах** пользователя, возможно, самостоятельно. Сущность, которая объединяет эту связку, называется **токеном**, по нему выдаётся право осуществлять действие. И всегда должна быть возможность отозвать то право для приложения (например, сервис считает, что приложение мошенническое или устарело и не поддерживает API), не лишая при этом прав самого пользователя. Токены выдаются и отзываются каким-то доверенным сервисом, возможно, третьей стороной. Например, проект OpenID и аутентификация через соцсети. Чтобы получить токен, нужно от имени пользователя выпустить его для какого-то приложения на этом доверенном сервисе. А затем сервис сможет аутентифицироваться этим токеном.

![%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png](attachment:%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png)

Попробуем проделать это для вашей учётки в Яндексе.

In [43]:
import requests

# подготовим запрос в соответствии с документацией https://tech.yandex.ru/translate/doc/dg/reference/translate-docpage/
url = "https://translate.yandex.net/api/v1.5/tr.json/translate?text={}&lang=ru-en&format=plain"

# попробуем вломиться в переводчик просто так:
resp = requests.get(url.format('У попа была собака'))
print(resp.status_code)
print(resp.text)

# получили - неправильно подготовленный запрос

# добавим левый ключ
url += "&key={}"
resp = requests.get(url.format('У попа была собака', "levy_kluch"))
print(resp.status_code)
print(resp.text)

# получили - невалидный ключ
# А теперь с правильным
# зайдите на https://translate.yandex.ru/developers/keys и получите ключ - это ваш токен.

resp = requests.get(url.format('У попа была собака', "..."))
print(resp.status_code)
print(resp.text)

400
{"code":502,"message":"Invalid parameter: key"}
403
{"code":401,"message":"API key is invalid"}
200
{"code":200,"lang":"ru-en","text":["The priest had a dog"]}


Этот пример _нестандартной_ аутентификации по токену. Стандартом сейчас является протокол OAuth2, который допускает передачу токена различными способами (например, через параметры), в том числе через заголовок `Authorization`. 

1. Сходите [cюда](https://oauth.yandex.ru/client/new), создайте приложение и получите его ID. Выдайте приложению права на Диск.
2. Теперь залогинившись пользователем Яндекса зайдите на `https://oauth.yandex.ru/authorize?response_type=token&client_id=ТУТ_ВАШ_ID`, чтобы получить ТОКЕН, связыващий приложение и пользователя.
3. Проверьте работоспособность токена на [полигоне](https://tech.yandex.ru/disk/poligon/) - вставьте токен и попробуйте получить информацию о диске.
4. Сделаем то же самое в коде:

In [52]:
import requests

get_disk_info_api = "https://cloud-api.yandex.net:443/v1/disk/resources?path={}"

# ломимся без токена
resp = requests.get(get_disk_info_api.format('/'))
print(resp.status_code)
print(resp.text)

# а теперь с токеном
token = "ВАШ ТОКЕН"
header = {
    "Authorization" : "OAuth " + token
}
resp = requests.get(get_disk_info_api.format('/'), headers=header)
print(resp.status_code)
for item in resp.json()["_embedded"]["items"]:
    print(item["name"])


401
{"message":"Не авторизован.","description":"Unauthorized","error":"UnauthorizedError"}
200
Backups
DSA0
Videos
intuit
Документы
Загрузки
Фото
peterpiper.wav


А теперь то же самое на голом HTTP(s):

```    
openssl s_client -connect cloud-api.yandex.net:443
    
GET /v1/disk/resources?path=%2F HTTP/1.1
HOST: cloud-api.yandex.net
Authorization: OAuth ваш_токен

HTTP/1.1 200 OK
...
```