# FastAPI

- Основы
    - Path operation
    - Request\Response
    - Models
    - Pydantic
    - Dependencies
    - Deploy
- Работа с БД
    - SQLAlchemy
        - Подключение
        - CRUD
        - sync\async
    - Authentication schemas
        - Basic
        - OAuth2
        - JWT

## Основы

**Цели занятия**:
- Запустить простое приложение
- Провалидировать модель запроса и ответа с помощью Pydantic
- Добавить простую аутентификаицю
- Собрать docker-контейнер с приложением

Documentation: https://fastapi.tiangolo.com/

Tutorial: https://fastapi.tiangolo.com/tutorial/

**Чем хорош FastAPI?**

- Современный веб-фреймворк для быстрой разработки
- Достаточно быстрый
- Много фич из коробки
- autodocs

### Установка

In [None]:
pip install "fastapi[all]"
pip install "uvicorn[standard]"

### Hello world

In [None]:
from fastapi import FastAPI

app = FastAPI()


@app.get("/")
async def root():
    return {"message": "Hello World"}

### Запуск

In [None]:
uvicorn main:app --reload

либо

In [None]:
import uvicorn

if __name__ == "__main__":
    uvicorn.run("app.main:app", host="0.0.0.0", port=8000, reload=True, log_level='error')

либо с помощью gunicorn

### Request parameters

1. Path parameters
2. Query string
3. Request body
    - Form
    - Files
    - JSON
4. Headers

#### Path parameters

Позволяет извлекать параметры из пути, по которому произошло обращение на сервер, используя плейсхолдеры с именами параметров, передаваемыми в качестве аргументов в функции-обработчики запросов

In [None]:
@app.get("/items/{item_id}")
async def read_item(item_id):
    return {"item_id": item_id}

In [None]:
@app.get("/items/{item_id}")
async def read_item(item_id: int):
    return {"item_id": item_id}

In [1]:
! wget -q -S -O - http://172.27.10.31:8001/items/ret83g7f67e

  HTTP/1.1 422 Unprocessable Entity
  date: Mon, 13 Nov 2023 13:35:20 GMT
  server: uvicorn
  content-length: 214
  content-type: application/json


In [19]:
! wget -q -S -O - http://172.27.10.31:8001/items/678

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:09:17 GMT
  server: uvicorn
  content-length: 15
  content-type: application/json
{"item_id":678}

In [18]:
! wget -q -S -O - http://172.27.10.31:8001/items/ce6e56

  HTTP/1.1 422 Unprocessable Entity
  date: Tue, 10 Oct 2023 16:09:10 GMT
  server: uvicorn
  content-length: 209
  content-type: application/json


В общем случае, необходимо помнить, что:
- Метод и путь, привязываемые к обработчику запроса, задаются с помощью декоратора @app.{method}
- Допустимо называть функции-обработчики одинаковым именем
- Допустимо задавать у нескольких функций-обарботчиков одинаковые параметры (метод, путь)
- При этом работать будет только самый верхний обработчик

In [None]:
@app.get("/items/{item_id}")
async def read_item(item_id: int):
    return {"item_id": item_id}


@app.get("/items/{request_id}")
async def read_item(request_id):
    '''
    This request handler will never be reached
    :param request_id:
    :return:
    '''
    return {"request_id": request_id}

В случае, если по каким-либо причинам вам необходим отдельный обработчик для запроса, путь которого подходит под уже имеющийся, но при этом значения в плейсхолдерах будут конкретными, например:
- /users/{user_id}
- /users/current

Разместите более конкретный обработчик над общим

In [None]:
@app.get("/requests/current")
async def read_item():
    return {"request": "current item"}


@app.get("/requests/{request_id}")
async def read_item(request_id):
    return {"request": request_id}

In [22]:
! wget -q -S -O - http://172.27.10.31:8001/requests/alpha-14

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:18:34 GMT
  server: uvicorn
  content-length: 22
  content-type: application/json
{"request":"alpha-14"}

In [23]:
! wget -q -S -O - http://172.27.10.31:8001/requests/current

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:18:44 GMT
  server: uvicorn
  content-length: 26
  content-type: application/json
{"request":"current item"}

Можно ограничить вводимые в path parameter значение с помощью enum

In [None]:
class RequestTypes(str, Enum):
    service = 'service'
    new_feature = 'new_feature'


@app.get("/requests/type/{request_type}")
async def read_item(request_type: RequestTypes):
    return {"request_typpe": request_type.value}

In [24]:
! wget -q -S -O - http://172.27.10.31:8001/requests/type/service

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:22:58 GMT
  server: uvicorn
  content-length: 27
  content-type: application/json
{"request_typpe":"service"}

In [25]:
! wget -q -S -O - http://172.27.10.31:8001/requests/type/abrakadabra

  HTTP/1.1 422 Unprocessable Entity
  date: Tue, 10 Oct 2023 16:23:09 GMT
  server: uvicorn
  content-length: 179
  content-type: application/json


#### Query string

Query string - пары ключ=значение, следующие сразу после пути.

```/api/requests?param1=val1&param2=val2```

In [None]:
@app.get("/query_params")
async def read_item(page: int = 0, skip: int = 0):
    return {
        "page": page,
        "skip": skip
    }

In [None]:
! wget -q -S -O - http://172.27.10.31:8001/query_params

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:28:49 GMT
  server: uvicorn
  content-length: 19
  content-type: application/json
{"page":0,"skip":0}

In [27]:
! wget -q -S -O - http://172.27.10.31:8001/query_params?page=10

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:28:59 GMT
  server: uvicorn
  content-length: 20
  content-type: application/json
{"page":10,"skip":0}

In [2]:
! wget -q -S -O - "http://172.27.10.31:8001/query_params?page=10&skip=1"

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:39:47 GMT
  server: uvicorn
  content-length: 20
  content-type: application/json
{"page":10,"skip":1}

Query parameters могут быть обязательными и необязательными. В предыдущих примерах возможно было не передавать один или оба параметра. В этом случае они будут инициализированы значениями по-умолчанию.

В случае, если требуется обязательное присутствие параметра - значение по-умолчанию не задается.

In [None]:
@app.get("/query_params")
async def read_item(req: str, page: int = 0, skip: int = 0):
    return {
        "page": page,
        "skip": skip,
        "req": req
    }

In [3]:
! wget -q -S -O - "http://172.27.10.31:8001/query_params?page=10&skip=1"

  HTTP/1.1 422 Unprocessable Entity
  date: Tue, 10 Oct 2023 16:45:22 GMT
  server: uvicorn
  content-length: 139
  content-type: application/json


In [4]:
! wget -q -S -O - "http://172.27.10.31:8001/query_params?req=test"

  HTTP/1.1 200 OK
  date: Tue, 10 Oct 2023 16:45:36 GMT
  server: uvicorn
  content-length: 32
  content-type: application/json
{"page":0,"skip":0,"req":"test"}

#### Query & Path validation

Некоторые параметры требуется заранее ограничивать по диапазону принимаемых значений, для этого в качестве типа параметра используется ```Query``` в сочетании с ```Annotated```.

In [None]:
from typing import Annotated

from fastapi import Query, Path

In [None]:
@app.get("/items/")
async def read_items(q: Annotated[str | None, Query(max_length=50)] = None):
    results = {"items": [{"item_id": "Foo"}, {"item_id": "Bar"}]}
    if q:
        results.update({"q": q})
    return results

In [None]:
@app.get("/query_params_typed")
async def read_item(req: Annotated[str, Query(min_length=5, max_length=15)]):
    return {
        "req": req
    }

In [6]:
! wget -q -S -O - "http://172.27.10.31:8001/query_params_typed?req=aaa"

  HTTP/1.1 422 Unprocessable Entity
  date: Wed, 11 Oct 2023 07:55:32 GMT
  server: uvicorn
  content-length: 207
  content-type: application/json


In [7]:
! wget -q -S -O - "http://172.27.10.31:8001/query_params_typed?req=aaaaa"

  HTTP/1.1 200 OK
  date: Wed, 11 Oct 2023 07:55:41 GMT
  server: uvicorn
  content-length: 15
  content-type: application/json
{"req":"aaaaa"}

In [None]:
@app.get("/items_validated/{request_id}")
async def read_item(request_id: Annotated[int, Path(ge=10, lt=15)]):
    return {"request_id": request_id}

In [1]:
! wget -q -S -O - "http://172.27.10.31:8001/items_validated/10"

  HTTP/1.1 200 OK
  date: Wed, 11 Oct 2023 08:03:54 GMT
  server: uvicorn
  content-length: 17
  content-type: application/json
{"request_id":10}

In [2]:
! wget -q -S -O - "http://172.27.10.31:8001/items_validated/100"

  HTTP/1.1 422 Unprocessable Entity
  date: Wed, 11 Oct 2023 08:04:01 GMT
  server: uvicorn
  content-length: 180
  content-type: application/json


#### Request body

- Form data
- Files
- JSON

Для обращения к объекту "Запрос", содежращему в себе все данные запроса, можно добавить аргумент типа Request

In [None]:
@app.post("/")
async def read_item(request: Request):
    return {
        "headers": request.headers,
        "cooke": request.cookies,
        "body": await request.body()
    }

In [6]:
! wget --post-data="user=evgeniy&password=qwerty" -q -S -O - "http://172.27.10.31:8001/"

  HTTP/1.1 200 OK
  date: Wed, 11 Oct 2023 11:33:13 GMT
  server: uvicorn
  content-length: 259
  content-type: application/json
{"headers":{"host":"172.27.10.31:8001","user-agent":"Wget/1.21.2","accept":"*/*","accept-encoding":"identity","connection":"Keep-Alive","content-type":"application/x-www-form-urlencoded","content-length":"28"},"cooke":{},"body":"user=evgeniy&password=qwerty"}

In [7]:
! wget --post-data="{\"user\":\"otus\",\"password\":\"otus\"}" -q -S -O - "http://172.27.10.31:8001/"

  HTTP/1.1 200 OK
  date: Wed, 11 Oct 2023 11:33:59 GMT
  server: uvicorn
  content-length: 272
  content-type: application/json
{"headers":{"host":"172.27.10.31:8001","user-agent":"Wget/1.21.2","accept":"*/*","accept-encoding":"identity","connection":"Keep-Alive","content-type":"application/x-www-form-urlencoded","content-length":"33"},"cooke":{},"body":"{\"user\":\"otus\",\"password\":\"otus\"}"}

Данный путь, хоть и является достаточно интуитивным, но весьма топорный. Можно параметризовать обработчик запроса, также как и в случае с Path и Query.

In [None]:
from fastapi import Form

@app.post("/form")
async def read_item(username: Annotated[str, Form()], password: Annotated[str, Form()]):
    return {
        "username": username,
        "password": password
    }

In [8]:
! wget --post-data="username=evgeniy&password=qwerty" -q -S -O - "http://172.27.10.31:8001/form"

  HTTP/1.1 200 OK
  date: Wed, 11 Oct 2023 11:43:28 GMT
  server: uvicorn
  content-length: 42
  content-type: application/json
{"username":"evgeniy","password":"qwerty"}

In [None]:
from fastapi import File

@app.post("/files/")
async def create_file(file: Annotated[bytes, File()]):
    return {"file_size": len(file)}

In [10]:
! ls -la | tail -n 3

-rw-r--r--  1 jovyan users       72 Mar  3  2023 Untitled.ipynb
-rw-r--r--  1 jovyan users   552944 Jul 11 17:58 Web.ipynb
drwxr-sr-x  1 jovyan users       72 Sep  5 18:13 С-ext | FFI


In [None]:
! pip install httpie

In [19]:
! http -f POST http://172.27.10.31:8001/files/ file@Web.ipynb

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 20
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Wed, 11 Oct 2023 11:49:29 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"file_size"[39;49;00m:[37m [39;49;00m[34m552944[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




### Pydantic

Так как для построения REST API скорее всего будет использоваться JSON-формат отправки данных - парсить запрос можно с помощью

```json.loads(await request.body().decode('utf-8')```
              
Но, этот метод также достаточно топорный.
            
FastAPI предлагает возможность автоматически десериализовать JSON из запроса в экземляр некоторого класса. За десериализацию, валидацю, выдачу ошибок, также, как и в случае с Path, Query, отвечает Pydantic.

In [None]:
from pydantic import BaseModel


class Item(BaseModel):
    name: str
    description: str | None = None
    price: float
    tax: float | None = None


@app.post("/items/")
async def create_item(
    item: Item | None = None,
):
    return {"item": item}

In [22]:
! http POST http://172.27.10.31:8001/items/ \
    name="test item" \
    description="test description" \
    price:=29 \
    tax:=0.1

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 85
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Wed, 11 Oct 2023 12:00:39 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"item"[39;49;00m:[37m [39;49;00m{[37m[39;49;00m
[37m        [39;49;00m[94m"description"[39;49;00m:[37m [39;49;00m[33m"test description"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"name"[39;49;00m:[37m [39;49;00m[33m"test item"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"price"[39;49;00m:[37m [39;49;00m[34m29.0[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"tax"[39;49;00m:[37m [39;49;00m[34m0.1[39;49;00m[37m[39;49;00m
[37m    [39;49;00m}[37m[39;49;00m
}[37m[39;49;00m




In [25]:
! http POST http://172.27.10.31:8001/items/ \
    name="test item" \
    description="test description" \
    price:=29 \
    tax:=true

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 85
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Wed, 11 Oct 2023 12:01:20 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"item"[39;49;00m:[37m [39;49;00m{[37m[39;49;00m
[37m        [39;49;00m[94m"description"[39;49;00m:[37m [39;49;00m[33m"test description"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"name"[39;49;00m:[37m [39;49;00m[33m"test item"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"price"[39;49;00m:[37m [39;49;00m[34m29.0[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"tax"[39;49;00m:[37m [39;49;00m[34m1.0[39;49;00m[37m[39;49;00m
[37m    [39;49;00m}[37m[39;49;00m
}[37m[39;49;00m




In [29]:
! http POST http://172.27.10.31:8001/items/ \
    name="test item" \
    description="test description" \
    price:=29 \
    pax:=0

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 86
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Wed, 11 Oct 2023 12:01:55 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"item"[39;49;00m:[37m [39;49;00m{[37m[39;49;00m
[37m        [39;49;00m[94m"description"[39;49;00m:[37m [39;49;00m[33m"test description"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"name"[39;49;00m:[37m [39;49;00m[33m"test item"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"price"[39;49;00m:[37m [39;49;00m[34m29.0[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"tax"[39;49;00m:[37m [39;49;00m[34mnull[39;49;00m[37m[39;49;00m
[37m    [39;49;00m}[37m[39;49;00m
}[37m[39;49;00m




In [33]:
! http POST http://172.27.10.31:8001/items/ \
    field="123"

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m422[39;49;00m [36mUnprocessable Entity[39;49;00m
[36mcontent-length[39;49;00m: 289
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Wed, 11 Oct 2023 12:10:32 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"detail"[39;49;00m:[37m [39;49;00m[[37m[39;49;00m
[37m        [39;49;00m{[37m[39;49;00m
[37m            [39;49;00m[94m"input"[39;49;00m:[37m [39;49;00m{[37m[39;49;00m
[37m                [39;49;00m[94m"field"[39;49;00m:[37m [39;49;00m[33m"123"[39;49;00m[37m[39;49;00m
[37m            [39;49;00m},[37m[39;49;00m
[37m            [39;49;00m[94m"loc"[39;49;00m:[37m [39;49;00m[[37m[39;49;00m
[37m                [39;49;00m[33m"body"[39;49;00m,[37m[39;49;00m
[37m                [39;49;00m[33m"name"[39;49;00m[37m[39;49;00m
[37m            [39;49;00m],[37m[39;49;00m
[37m            [39;49;00m[94m"msg"[39;49;00m:[37m [39;49;00m[33m"F

Можно создавать вложенные модели. FastAPI распарсит их из объекта верхнего уровня, при этом часть параметров можно задать в качестве отдельных аргументов с помощью ```Body()```

In [None]:
from typing import Annotated

from fastapi import FastAPI, Body
from pydantic import BaseModel

class Item(BaseModel):
    name: str
    description: str | None = None
    price: float
    tax: float | None = None


class User(BaseModel):
    username: str
    full_name: str | None = None


@app.put("/items/{item_id}")
async def update_item(
    item_id: int, item: Item, user: User, importance: Annotated[int, Body()]
):
    results = {"item_id": item_id, "item": item, "user": user, "importance": importance}
    return results

In [1]:
Request body:

{
    "item": {
        "name": "Foo",
        "description": "The pretender",
        "price": 42.0,
        "tax": 3.2
    },
    "user": {
        "username": "dave",
        "full_name": "Dave Grohl"
    },
    "importance": 5
}

SyntaxError: invalid syntax. Perhaps you forgot a comma? (3793948785.py, line 1)

In [4]:
! http PUT http://localhost:5002/items/1 \
    item[name]="foo" \
    item[description]="The pretender" \
    item[description]="The pretender" \
    item[price]:=42.0 \
    item[price]:=3.2 \
    user[username]="dave" \
    user[full_name]="Dave Grohl" \
    importance:=5

zsh:1: no matches found: item[name]=foo


#### Response

Задать тип ответа можно как с помощью type-hint возвращаемого значения, так и с помощью keyword-аргумента ```response_model``` в декораторе.

В случае, если указаны оба значения - ```response_model``` будет в приоритете.

In [None]:
@app.get("/items/", response_model=list[Item])
async def read_items() -> Any:
    return [
        {"name": "Portal Gun", "price": 42.0},
        {"name": "Plumbus", "price": 32.0},
    ]

In [6]:
! http GET http://127.0.0.1:5002/items

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 31
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 02 Sep 2024 09:48:48 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"message"[39;49;00m:[37m [39;49;00m[[37m[39;49;00m
[37m        [39;49;00m[33m"item 1"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[33m"item 2"[39;49;00m[37m[39;49;00m
[37m    [39;49;00m][37m[39;49;00m
}[37m[39;49;00m




#### Other responses

FastAPI поддерживает еще несколько типов ответов:
- JSONResonse
- FileResponse
- RedirectResponse
- ...

https://fastapi.tiangolo.com/advanced/custom-response/?h=jsonres#available-responses

### Dependencies

FastAPI из коробки содержит механизм внедрения зависимостей, который позволит сократить объем кода.

**Пример 1.** Вынесем все часто используемые параметры в отдельный метод

In [None]:
from typing import Annotated

from fastapi import Depends, FastAPI

app = FastAPI()


async def common_parameters(q: str | None = None, skip: int = 0, limit: int = 100):
    return {"q": q, "skip": skip, "limit": limit}


@app.get("/items/")
async def read_items(commons: Annotated[dict, Depends(common_parameters)]):
    return commons


@app.get("/users/")
async def read_users(commons: Annotated[dict, Depends(common_parameters)]):
    return commons

**Пример 2.** Зависимости, сгруппированные в класс

In [None]:
from typing import Annotated

from fastapi import Depends, FastAPI

app = FastAPI()


fake_items_db = [{"item_name": "Foo"}, {"item_name": "Bar"}, {"item_name": "Baz"}]


class CommonQueryParams:
    def __init__(self, q: str | None = None, skip: int = 0, limit: int = 100):
        self.q = q
        self.skip = skip
        self.limit = limit


@app.get("/items/")
async def read_items(commons: Annotated[CommonQueryParams, Depends(CommonQueryParams)]):
    response = {}
    if commons.q:
        response.update({"q": commons.q})
    items = fake_items_db[commons.skip : commons.skip + commons.limit]
    response.update({"items": items})
    return response

**Пример 3.** Вложенные зависимости

In [None]:
from typing import Annotated

from fastapi import Cookie, Depends, FastAPI

app = FastAPI()


def query_extractor(q: str | None = None):
    return q


def query_or_cookie_extractor(
    q: Annotated[str, Depends(query_extractor)],
    last_query: Annotated[str | None, Cookie()] = None,
):
    if not q:
        return last_query
    return q


@app.get("/items/")
async def read_query(
    query_or_default: Annotated[str, Depends(query_or_cookie_extractor)]
):
    return {"q_or_cookie": query_or_default}

**Пример 4.** Зависимости, использумеые для завершения работы метода, в случае если запрос не прошел валидацию

In [None]:
from typing import Annotated

from fastapi import Depends, FastAPI, Header, HTTPException

app = FastAPI()


async def verify_token(x_token: Annotated[str, Header()]):
    if x_token != "fake-super-secret-token":
        raise HTTPException(status_code=400, detail="X-Token header invalid")


async def verify_key(x_key: Annotated[str, Header()]):
    if x_key != "fake-super-secret-key":
        raise HTTPException(status_code=400, detail="X-Key header invalid")
    return x_key


@app.get("/items/", dependencies=[Depends(verify_token), Depends(verify_key)])
async def read_items():
    return [{"item": "Foo"}, {"item": "Bar"}]

### Deploy

Обычно для запуска инстанса FastAPI используется ASGI server ```uvicorn```. Проблема в том, что ```uvicorn``` хоть и поддерживает асинхронные фреймворки, а также запуск wokrer'ов, но тем не менее его возможности по работе с worker'ами оставляют желать лучшего. Для решения этой проблемы используется связка ```gunicorn``` + ```uvicorn```.

Gunicorn это WSGI-сервер, однако он умеет работать в режиме мастер-процесса, запуская и отслеживая состояние нескольких worker'ов.

![gunicorn master process](https://nicewook.github.io/post_web/Gunicorn%20Worker%20Types.files/image004.gif)

```gunicorn``` поддерживает запуск ```uvicorn``` worker`ов.

```gunicorn```:
- Запустит требуемое количество процессов
- Отследит состояние worker`ов
- Остановит работу worker`ов, которые перестали отвечать
- Поднимет новые wokrer`ы

Так как для запуска worker`ов используется ```fork()```, сокет, прослушивание которого начнет ```gunicorn```, будет доступен для всех дочерних процессов-воркеров.

***Ограничение***: gunicorn работает только под Linux (под Windows нет системного вызова ```fork()```)

In [None]:
pip install gunicorn

In [None]:
gunicorn app.main:app --workers 4 --worker-class uvicorn.workers.UvicornWorker --bind 0.0.0.0:80 --log-level 'error'

Пример Dockerfile

In [None]:
FROM python:3.9
WORKDIR /code
COPY ./requirements.txt /code/requirements.txt
RUN pip install --no-cache-dir --upgrade -r /code/requirements.txt
COPY ./app /code/app
CMD ["uvicorn", "app.main:app", "--host", "0.0.0.0", "--port", "80"]

## Работа с БД

**Цели занятия**:
- Подключить SQLAlchemy к приложению
- Добавить запросы с простыми CRUD-операциями
- Работать с БД асинхронно
- Добавить дополнительные механизмы аутентификации

FastAPI (в отличие от Django) не имеет встроенной ORM, вместо нее можно использовать SQLAlchemy

ORM (object-relational mapping) - объектно-реляционное отображение. Отображение схемы БД и данных, хранящихся в ней, на типы данных (классы, экземпляры классов) используемого языка программирования.

Паттерны:
- ActiveRecord
- DataMapper

### SQLAlchemy

#### Установка и начало работы

In [None]:
pip install sqlalchemy

Подготовка SQLAlchemy к работе состоит из нескольких этапов:
1. Подключение к БД
2. Создание моделей (отражений таблиц)
3. Создание классов, использующих модели

Начнем с подготовки подключения к БД

In [1]:
from sqlalchemy import create_engine
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy.orm import sessionmaker

SQLALCHEMY_DATABASE_URL = "sqlite:///./sql_app.db"

engine = create_engine(
    SQLALCHEMY_DATABASE_URL, connect_args={"check_same_thread": False}
)
SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)

Base = declarative_base()

  Base = declarative_base()


Подготовим модели

In [4]:
from sqlalchemy import Boolean, Column, ForeignKey, Integer, String
from sqlalchemy.orm import relationship

# from .database import Base


class User(Base):
    __tablename__ = "users"

    id = Column(Integer, primary_key=True, index=True)
    email = Column(String, unique=True, index=True)
    hashed_password = Column(String)
    is_active = Column(Boolean, default=True)

    items = relationship("Item", back_populates="owner")


class Item(Base):
    __tablename__ = "items"

    id = Column(Integer, primary_key=True, index=True)
    title = Column(String, index=True)
    description = Column(String, index=True)
    owner_id = Column(Integer, ForeignKey("users.id"))

    owner = relationship("User", back_populates="items")

Подготовим функции (или классы) для использования моделей (в какой-то степени реализуем паттерн Репозиторий):

In [None]:
from hashlib import sha512

from sqlalchemy.orm import Session

from . import models


class Users:
    @staticmethod
    def get(db: Session, user_id: int):
        return db.query(models.User).filter(models.User.id == user_id).first()

    @staticmethod
    def get_by_email(db: Session, email: str):
        return db.query(models.User).filter(models.User.email == email).first()

    @staticmethod
    def all(db: Session, skip: int = 0, limit: int = 100):
        return db.query(models.User).offset(skip).limit(limit).all()

    @staticmethod
    def create(db: Session, email: str, password: str):
        db_user = models.User(email=email, hashed_password=sha512(password))
        db.add(db_user)
        db.commit()
        db.refresh(db_user)
        return db_user

    class Items:
        @staticmethod
        def all(db: Session, skip: int = 0, limit: int = 100):
            return db.query(models.Item).offset(skip).limit(limit).all()

        @staticmethod
        def create(db: Session, item_title: str, item_description: str, user_id: int):
            db_item = models.Item(**{'title': item_title, 'description': item_description}, owner_id=user_id)
            db.add(db_item)
            db.commit()
            db.refresh(db_item)
            return db_item

Добавим код обработки запросов

Функция ```get_db``` используется, поскольку для каждого запроса требуется своя сессия (со своими настройками).
```SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)``` создает класс, который мы будем инстанциировать.
```yield``` используется для того, чтобы не пересоздавать соединение. Если заменить yield на return, то каждый раз соединение будет создаваться вновь.

In [None]:
import json
from typing import Annotated, Any

from fastapi import FastAPI, Body, Depends, HTTPException
from pydantic import BaseModel
from sqlalchemy.orm import Session
from starlette.requests import Request

from orm import crud, models
from orm.database import SessionLocal, engine

models.Base.metadata.create_all(bind=engine)
app = FastAPI()


# Dependency
def get_db():
    db = SessionLocal()
    try:
        yield db
    finally:
        db.close()


@app.post("/users/")
async def create_user(request: Request, db: Session = Depends(get_db)):
    user = json.loads((await request.body()).decode('utf-8'))
    db_user = crud.Users.get_by_email(db, email=user['email'])
    if db_user:
        raise HTTPException(status_code=400, detail="Email already registered")
    return crud.Users.create(db=db, email=user['email'], password=user['password'])


@app.get("/users/")
async def read_users(skip: int = 0, limit: int = 100, db: Session = Depends(get_db)):
    users = crud.Users.all(db, skip=skip, limit=limit)
    return users


@app.get("/users/{user_id}")
async def read_user(user_id: int, db: Session = Depends(get_db)):
    db_user = crud.Users.get(db, user_id=user_id)
    if db_user is None:
        raise HTTPException(status_code=404, detail="User not found")
    return db_user


@app.post("/users/{user_id}/items/",)
async def create_item_for_user(
    request: Request, user_id: int, db: Session = Depends(get_db)
):
    item = json.loads((await request.body()).decode('utf-8'))
    return crud.Users.Items.create(db=db, item_title=item['title'], item_description=item['description'], user_id=user_id)


@app.get("/items/")
def read_items(skip: int = 0, limit: int = 100, db: Session = Depends(get_db)):
    items = crud.Users.Items.all(db, skip=skip, limit=limit)
    return items

#### Проверка работоспособности

In [4]:
! http POST http://172.27.10.31:8001/users/ \
    email="test_test@otus.ru" \
    password="1234765"

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 202
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 14:02:05 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"email"[39;49;00m:[37m [39;49;00m[33m"test_test@otus.ru"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"hashed_password"[39;49;00m:[37m [39;49;00m[33m"a222abf513041a35f38cf4e626d216202cdad708422469f2d2f1887bef5b367defb33f2a1e4f703000bddb7034ce7485b393b969279628f28e84800476454f25"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"id"[39;49;00m:[37m [39;49;00m[34m3[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"is_active"[39;49;00m:[37m [39;49;00m[34mtrue[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [5]:
! http GET http://172.27.10.31:8001/users/

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 519
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 14:02:17 GMT
[36mserver[39;49;00m: uvicorn

[[37m[39;49;00m
[37m    [39;49;00m{[37m[39;49;00m
[37m        [39;49;00m[94m"email"[39;49;00m:[37m [39;49;00m[33m"test@otus.ru"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"hashed_password"[39;49;00m:[37m [39;49;00m[33m"<sha512 _hashlib.HASH object @ 0x7f8a66d41970>"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"id"[39;49;00m:[37m [39;49;00m[34m1[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"is_active"[39;49;00m:[37m [39;49;00m[34mtrue[39;49;00m[37m[39;49;00m
[37m    [39;49;00m},[37m[39;49;00m
[37m    [39;49;00m{[37m[39;49;00m
[37m        [39;49;00m[94m"email"[39;49;00m:[37m [39;49;00m[33m"test@otus1.ru"[39;49;00m,[37m[39;49;00m
[37m        [39;49;00m[94m"ha

In [8]:
! http POST http://172.27.10.31:8001/users/2/items/ \
    title="An item!" \
    description="Item description!"

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 74
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 14:03:25 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"description"[39;49;00m:[37m [39;49;00m[33m"Item description!"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"id"[39;49;00m:[37m [39;49;00m[34m2[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"owner_id"[39;49;00m:[37m [39;49;00m[34m2[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"title"[39;49;00m:[37m [39;49;00m[33m"An item!"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




#### Async SQLAlchemy

Так как асинхронное взаимодействие имеет больший смысл именно для сетевых операций - будем использовать PostgreSQL.

Для начала нам требуется создать сессию (асинхронно).

In [None]:
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy.ext.asyncio import AsyncEngine, create_async_engine, async_sessionmaker
SQLALCHEMY_DATABASE_URL = "postgresql+asyncpg://otus:otus@localhost/ormasync"

engine = create_async_engine(
    SQLALCHEMY_DATABASE_URL, echo=True
)
SessionLocal = async_sessionmaker(engine, autoflush=True, expire_on_commit=False)

Base = declarative_base()

Требуется переработать репозиторий:
1. Добавить async\await
2. Изменить синтаксис запросов

In [None]:
from hashlib import sha512

from sqlalchemy.ext.asyncio import AsyncSession
from . import models
from sqlalchemy import select


class Users:
    @staticmethod
    async def get(db: AsyncSession, user_id: int):
        return (await db.execute(select(models.User).filter(models.User.id == user_id))).scalars().first()

    @staticmethod
    async def get_by_email(db: AsyncSession, email: str):
        return (await db.execute(select(models.User).filter(models.User.email == email))).scalars().first()

    @staticmethod
    async def all(db: AsyncSession, skip: int = 0, limit: int = 100):
        return (await db.execute(select(models.User).offset(skip).limit(limit))).scalars().all()

    @staticmethod
    async def create(db: AsyncSession, email: str, password: str):
        db_user = models.User(email=email, hashed_password=sha512(password.encode('utf-8')).hexdigest())
        db.add(db_user)
        await db.commit()
        await db.refresh(db_user)
        return db_user

    class Items:
        @staticmethod
        async def all(db: AsyncSession, skip: int = 0, limit: int = 100):
            return (await db.execute(select(models.Item).offset(skip).limit(limit))).scalars().first()

        @staticmethod
        async def create(db: AsyncSession, item_title: str, item_description: str, user_id: int):
            db_item = models.Item(**{'title': item_title, 'description': item_description}, owner_id=user_id)
            db.add(db_item)
            await db.commit()
            await db.refresh(db_item)
            return db_item

Также требуется:
1. Добавить событие на startup приложения (опционально)
2. Переработать ```get_db``
3. Заменить вызовы методов репозитория на асинхронные (добавить async\await)

In [None]:
import json
from typing import Annotated, Any

from fastapi import FastAPI, Body, Depends, HTTPException
from sqlalchemy.orm import Session
from starlette.requests import Request

from orm import crud, models
from orm.database import SessionLocal, engine, Base

app = FastAPI()

@app.on_event("startup")
async def init_tables():
    # не должно быть в production, используйте alembic!
    async with engine.begin() as conn:
        await conn.run_sync(Base.metadata.drop_all)
        await conn.run_sync(Base.metadata.create_all)

# Dependency
async def get_db() -> SessionLocal:
    async with SessionLocal() as session:
        yield session


@app.post("/users/")
async def create_user(request: Request, db: SessionLocal = Depends(get_db)):
    user = json.loads((await request.body()).decode('utf-8'))
    db_user = await crud.Users.get_by_email(db, email=user['email'])
    if db_user:
        raise HTTPException(status_code=400, detail="Email already registered")
    return await crud.Users.create(db=db, email=user['email'], password=user['password'])

#### Alembic

In [8]:
! pip install alembic



In [125]:
# create folder for project
import os
os.chdir('/home/jovyan')
os.chdir('ARVR Lab')
! mkdir -p alembic-example
os.chdir('alembic-example')

In [27]:
# Initialize Alembic
! alembic init alembic

  Creating directory /home/jovyan/ARVR Lab/alembic-example/alembic ...  done
  Creating directory /home/jovyan/ARVR Lab/alembic-example/alembic/versions ...  done
  Generating /home/jovyan/ARVR Lab/alembic-example/alembic/README ...  done
  Generating /home/jovyan/ARVR Lab/alembic-example/alembic.ini ...  done
  Generating /home/jovyan/ARVR Lab/alembic-example/alembic/env.py ...  done
  Generating /home/jovyan/ARVR Lab/alembic-example/alembic/script.py.mako ...  done
  Please edit configuration/connection/logging settings in '/home/jovyan/ARVR
  Lab/alembic-example/alembic.ini' before proceeding.


In [31]:
# Установить sqlalchemy.url в alembic.ini
! cat alembic.ini | grep sqlalchemy.url

sqlalchemy.url = postgresql://dhs:dhs@172.27.10.31/alembic-example


In [32]:
! alembic revision -m "create users table"

  Generating /home/jovyan/ARVR Lab/alembic-
  example/alembic/versions/6d0d8a63b7e0_create_users_table.py ...  done


In [36]:
! ls -la alembic/versions/

total 4
drwxr-sr-x. 1 jovyan users  90 Aug 25 19:20 .
drwxr-sr-x. 1 jovyan users  68 Aug 25 19:10 ..
-rw-r--r--. 1 jovyan users 350 Aug 25 19:20 6d0d8a63b7e0_create_users_table.py
drwxr-sr-x. 1 jovyan users  94 Aug 25 19:20 __pycache__


In [37]:
! cat alembic/versions/6d0d8a63b7e0_create_users_table.py

"""create users table

Revision ID: 6d0d8a63b7e0
Revises: 
Create Date: 2022-08-25 19:20:16.567095

"""
from alembic import op
import sqlalchemy as sa


# revision identifiers, used by Alembic.
revision = '6d0d8a63b7e0'
down_revision = None
branch_labels = None
depends_on = None


def upgrade() -> None:
    pass


def downgrade() -> None:
    pass


In [39]:
# because we won't compile it
! pip install psycopg2-binary

Collecting psycopg2-binary
  Downloading psycopg2_binary-2.9.3-cp310-cp310-manylinux_2_17_x86_64.manylinux2014_x86_64.whl (3.0 MB)
[2K     [90m━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[0m [32m3.0/3.0 MB[0m [31m4.5 MB/s[0m eta [36m0:00:00[0m00:01[0m00:01[0m
[?25hInstalling collected packages: psycopg2-binary
Successfully installed psycopg2-binary-2.9.3


In [41]:
! alembic upgrade head

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.runtime.migration] Running upgrade  -> 6d0d8a63b7e0, create users table


In [42]:
! alembic current

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
6d0d8a63b7e0 (head)


In [46]:
! alembic history --verbose

Rev: 6d0d8a63b7e0 (head)
Parent: <base>
Path: /home/jovyan/ARVR Lab/alembic-example/alembic/versions/6d0d8a63b7e0_create_users_table.py

    create users table
    
    Revision ID: 6d0d8a63b7e0
    Revises: 
    Create Date: 2022-08-25 19:20:16.567095



In [48]:
! alembic downgrade -1

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.runtime.migration] Running downgrade 6d0d8a63b7e0 -> , create users table


### Миграции на основе моделей

In [127]:
! alembic upgrade head

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.runtime.migration] Running upgrade ce273fe0537f -> 86af03593e2a, Added blogs table


In [58]:
! alembic revision --autogenerate -m "Added groups table"

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.autogenerate.compare] Detected added table 'Groups'
INFO  [alembic.ddl.postgresql] Detected sequence named 'users_id_seq' as owned by integer column 'users(id)', assuming SERIAL and omitting
INFO  [alembic.autogenerate.compare] Detected removed table 'users'
  Generating /home/jovyan/ARVR Lab/alembic-
  example/alembic/versions/ce273fe0537f_added_groups_table.py ...  done


In [62]:
! alembic revision --autogenerate -m "Added blogs table"

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.autogenerate.compare] Detected added table 'Blogs'
  Generating /home/jovyan/ARVR Lab/alembic-
  example/alembic/versions/86af03593e2a_added_blogs_table.py ...  done


In [128]:
! alembic revision --autogenerate -m "Added test_prop to Groups"

INFO  [alembic.runtime.migration] Context impl PostgresqlImpl.
INFO  [alembic.runtime.migration] Will assume transactional DDL.
INFO  [alembic.autogenerate.compare] Detected added column 'Groups.test_prop'
  Generating /home/jovyan/ARVR Lab/alembic-
  example/alembic/versions/26770f8ac7d8_added_test_prop_to_groups.py ...  done


Материалы:
- https://alembic.sqlalchemy.org/en/latest/tutorial.html
- https://alembic.sqlalchemy.org/en/latest/autogenerate.html
- https://alembic.sqlalchemy.org/en/latest/branches.html
- https://medium.com/@sutharprashant199722/how-to-use-alembic-for-your-database-migrations-d3e93cacf9e8
- https://habr.com/ru/post/585228/

### Authentication schemas

- Basic
- OAuth
- JWT

#### Basic

Basic authentication выполняется путем посылки в HTTP-запроса заголовка ```Authorization``` с парой ```логин:пароль``` кодированных в base64.

Данный пример требует обязательного присутствия пары логин:пароль, но не проверяет их корректность.

In [None]:
import secrets
from typing import Annotated

from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import HTTPBasic, HTTPBasicCredentials
from starlette import status

app = FastAPI()

security = HTTPBasic()


@app.get("/users/me")
def read_current_user(credentials: Annotated[HTTPBasicCredentials, Depends(security)]):
    return {"username": credentials.username, "password": credentials.password}

In [11]:
! http GET http://172.27.10.31:8001/users/me --auth jonh:doe

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 36
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 15:07:21 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"password"[39;49;00m:[37m [39;49;00m[33m"doe"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"username"[39;49;00m:[37m [39;49;00m[33m"jonh"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [12]:
! http GET http://172.27.10.31:8001/users/me

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m401[39;49;00m [36mUnauthorized[39;49;00m
[36mcontent-length[39;49;00m: 30
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 15:07:31 GMT
[36mserver[39;49;00m: uvicorn
[36mwww-authenticate[39;49;00m: Basic

{[37m[39;49;00m
[37m    [39;49;00m[94m"detail"[39;49;00m:[37m [39;49;00m[33m"Not authenticated"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




Для проверки можно извлечь из объекта ```credentials``` пару логин:пароль, и далее:
1. Выполнить запрос в БД
2. Проверить в файле\памяти
3. etc

Однако, данный способ аутентификации подвержен так называемым ```Timing attacks```, т.е. ситуации, когда атакующий может по времени ожидания ответа понимать, насколько неправильные данные он ввел.

В данном примере валидной является ключевая пара ```stanleyjobson:swordfish```, если мы передаем, например ```john:doe```, то потратится какое-то время на сравнение, по изменениям которого можно пробовать подбирать символы в логине и пароле.

```secrets.compare_digest``` решает эту проблему, делая время сравнения константным.

In [None]:
def get_current_username(
    credentials: Annotated[HTTPBasicCredentials, Depends(security)]
):
    current_username_bytes = credentials.username.encode("utf8")
    correct_username_bytes = b"stanleyjobson"
    is_correct_username = secrets.compare_digest(
        current_username_bytes, correct_username_bytes
    )
    current_password_bytes = credentials.password.encode("utf8")
    correct_password_bytes = b"swordfish"
    is_correct_password = secrets.compare_digest(
        current_password_bytes, correct_password_bytes
    )
    if not (is_correct_username and is_correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect email or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me_checked")
def read_current_user(username: Annotated[str, Depends(get_current_username)]):
    return {"username": username}

#### OAuth

OAuth — стандарт (схема) авторизации, обеспечивающий предоставление третьей стороне ограниченного доступа к защищённым ресурсам пользователя без передачи ей (третьей стороне) логина и пароля

По-сути OAuth регламентирует, что при аутентификации пользователь (браузер) передает:
1. Поле username
2. Поле password
3. Опциональное поле scope (области действия, например users:read)
4. Опциональное поле grant_type (тип возврата токена)
5. Опциональное поле client_id
6. Опциональное поле client_secret

В FastAPI для аутентификации через OAuth нам нужно:
1. Получить токен (передав форму с username и password)
2. Полученный токен добавить в заголовок ```Authorization: Bearer {token}```

In [None]:
from typing import Annotated

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel

fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

app = FastAPI()


def fake_hash_password(password: str):
    return "fakehashed" + password


oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


class User(BaseModel):
    username: str
    email: str | None = None
    full_name: str | None = None
    disabled: bool | None = None


class UserInDB(User):
    hashed_password: str


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def fake_decode_token(token):
    # This doesn't provide any security at all
    # Check the next version
    user = get_user(fake_users_db, token)
    return user


async def get_current_user(token: Annotated[str, Depends(oauth2_scheme)]):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication credentials",
            headers={"WWW-Authenticate": "Bearer"},
        )
    return user


async def get_current_active_user(
    current_user: Annotated[User, Depends(get_current_user)]
):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token")
async def login(form_data: Annotated[OAuth2PasswordRequestForm, Depends()]):
    user_dict = fake_users_db.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400, detail="Incorrect username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=400, detail="Incorrect username or password")

    return {"access_token": user.username, "token_type": "bearer"}


@app.get("/users/me")
async def read_users_me(
    current_user: Annotated[User, Depends(get_current_active_user)]
):
    return current_user

In [15]:
! http -f POST http://172.27.10.31:8001/token username='johndoe' password='secret'

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 48
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:42:25 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"access_token"[39;49;00m:[37m [39;49;00m[33m"johndoe"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"token_type"[39;49;00m:[37m [39;49;00m[33m"bearer"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [18]:
! http -A bearer -a johndoe GET http://172.27.10.31:8001/users/me

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 129
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:44:12 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"disabled"[39;49;00m:[37m [39;49;00m[34mfalse[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"email"[39;49;00m:[37m [39;49;00m[33m"johndoe@example.com"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"full_name"[39;49;00m:[37m [39;49;00m[33m"John Doe"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"hashed_password"[39;49;00m:[37m [39;49;00m[33m"fakehashedsecret"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"username"[39;49;00m:[37m [39;49;00m[33m"johndoe"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [19]:
! http GET http://172.27.10.31:8001/users/me

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m401[39;49;00m [36mUnauthorized[39;49;00m
[36mcontent-length[39;49;00m: 30
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:44:22 GMT
[36mserver[39;49;00m: uvicorn
[36mwww-authenticate[39;49;00m: Bearer

{[37m[39;49;00m
[37m    [39;49;00m[94m"detail"[39;49;00m:[37m [39;49;00m[33m"Not authenticated"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [20]:
! http -A bearer -a mytoken GET http://172.27.10.31:8001/users/me

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m401[39;49;00m [36mUnauthorized[39;49;00m
[36mcontent-length[39;49;00m: 47
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:44:32 GMT
[36mserver[39;49;00m: uvicorn
[36mwww-authenticate[39;49;00m: Bearer

{[37m[39;49;00m
[37m    [39;49;00m[94m"detail"[39;49;00m:[37m [39;49;00m[33m"Invalid authentication credentials"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




#### JWT

JWT (Json Web Tokens) стандарт, предполагающий хранение информации о пользователе, используемой для идентификации, в JSON-объкете, который не шифруется, но подписывается ключом сервера, следовательно, прочитать его можно, но модификцировать так, чтобы он проходил проверку - сложно.

Пример:
```eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c```

https://jwt.io/introduction

In [None]:
from datetime import datetime, timedelta
from typing import Annotated

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jose import JWTError, jwt
from passlib.context import CryptContext
from pydantic import BaseModel

# to get a string like this run:
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30


fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
}


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str | None = None


class User(BaseModel):
    username: str
    email: str | None = None
    full_name: str | None = None
    disabled: bool | None = None


class UserInDB(User):
    hashed_password: str


pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

app = FastAPI()


def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    return pwd_context.hash(password)


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: Annotated[str, Depends(oauth2_scheme)]):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


async def get_current_active_user(
    current_user: Annotated[User, Depends(get_current_user)]
):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token", response_model=Token)
async def login_for_access_token(
    form_data: Annotated[OAuth2PasswordRequestForm, Depends()]
):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}


@app.get("/users/me/", response_model=User)
async def read_users_me(
    current_user: Annotated[User, Depends(get_current_active_user)]
):
    return current_user


@app.get("/users/me/items/")
async def read_own_items(
    current_user: Annotated[User, Depends(get_current_active_user)]
):
    return [{"item_id": "Foo", "owner": current_user.username}]

In [21]:
! http -f POST http://172.27.10.31:8001/token username='johndoe' password='secret'

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 168
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:47:36 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"access_token"[39;49;00m:[37m [39;49;00m[33m"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb2huZG9lIiwiZXhwIjoxNjk5ODk1ODU3fQ._tM-tojDboG9Ij2infKyVeVQhD2jMw6VXP2i-Lwvqs8"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"token_type"[39;49;00m:[37m [39;49;00m[33m"bearer"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m




In [23]:
! http -A bearer -a eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb2huZG9lIiwiZXhwIjoxNjk5ODk1ODU3fQ._tM-tojDboG9Ij2infKyVeVQhD2jMw6VXP2i-Lwvqs8 GET http://172.27.10.31:8001/users/me/

[34mHTTP[39;49;00m/[34m1.1[39;49;00m [34m200[39;49;00m [36mOK[39;49;00m
[36mcontent-length[39;49;00m: 92
[36mcontent-type[39;49;00m: application/json
[36mdate[39;49;00m: Mon, 13 Nov 2023 16:48:06 GMT
[36mserver[39;49;00m: uvicorn

{[37m[39;49;00m
[37m    [39;49;00m[94m"disabled"[39;49;00m:[37m [39;49;00m[34mfalse[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"email"[39;49;00m:[37m [39;49;00m[33m"johndoe@example.com"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"full_name"[39;49;00m:[37m [39;49;00m[33m"John Doe"[39;49;00m,[37m[39;49;00m
[37m    [39;49;00m[94m"username"[39;49;00m:[37m [39;49;00m[33m"johndoe"[39;49;00m[37m[39;49;00m
}[37m[39;49;00m


