# API ключи их хранение.



## 1. Что это такое?




### 1.1 [API](https://ru.wikipedia.org/wiki/API)

**A**pplication **P**rogramming **I**nterface - это описание способов взаимодействия программ. 


> Если программу (модуль, библиотеку) рассматривать как чёрный ящик, то API — это набор «ручек», которые доступны пользователю данного ящика и которые он может вертеть и переключать.

API устанавливает правила:

1) В каком формате делается запрос (то есть полностью определяет синтаксис запроса)
2) Что делает правильно написанный запрос 
3) В каком формате вернётся ответ по запросу (какие данные нам вернутся)



#### **Пример** с котиками (`thecatapi`):

In [10]:
import requests

link_for_random_cat = "https://api.thecatapi.com/v1/images/search"
response = requests.get(link_for_random_cat)
data = response.json()
print(data)
print(data[0]["url"])

[{'id': 'bqu', 'url': 'https://cdn2.thecatapi.com/images/bqu.jpg', 'width': 500, 'height': 467}]
https://cdn2.thecatapi.com/images/bqu.jpg


В данном случае мы обратились к открытому API, которое возвращает ссылку на случайную картинку с котиком и связанные с этой картинкой данные.



##### Комментарии по коду:

Мы использовали стандартный модуль `requests`, чтобы сделать `GET`-запрос (с англ. get - получить, по контексту понятно, что оно делает) к некоторому API. 

В ответ мы получили нечто, что преобразовали в JSON-формат с помощью одноименного метода (что такое JSON знать не обязательно, просто отметьте сходство с `dict` из `Python`, доступ к данным в целом таким же образом реализуется). 

Можем распечатать и увидеть, как именно выглядит ответ от данного конкретного API: в данном случае это `list`, в котором расположен единственный элемент - `dict`. 

Внутри этого `dict`-а у нас: 

1) Первым идёт ключ "id", который нас мало интересует, потому что это внутренний id картинки, которую мы получили. Сомневаюсь, что мы можем его как-то полезно использовать.
2) Вторым идёт ключ "url", значением которого является заветная ссылка на картинку с котиком. Круто, она нам и нужна.
3) Далее идут два ключа: "width" и "height", значения которых - это соответственно ширина и высота изображения по ссылке из п.2. Можно представить ситуации, в которых эти данные нам понадобятся.

Нас интересуют в основном котики, так что добудем из полученных данных только её:

 - Поскольку data - это `list`, чтобы получить наш `dict`, обратимся по индексу 0 (поскольку этот словарь - первый и единственный элемент) (то есть `data[0]` - это искомый словарь)
 - Далее среди всех ключей в словаре нас интересует "url", по нему и обратимся, чтобы получить ссылку. То есть строка с ссылкой получается с помощью `data[0]["url"]`



### 1.2 API ключи. 

Как только мы узнали, как обращаться к какой-то программе или сервису, возникает резонный вопрос: а почему сервис вообще должен нам давать какой-то ответ и реагировать на наш запрос? Действительно, запросы надо обрабатывать, что-то отправлять в ответ и так далее. Всё это требует вычислительного времени серверов, а вычислительное время = деньги. 

Логично, что опция делать запросы и получать какие-то осознанные ответы должна быть не у каждой программы (или человека), а только у тех, кому разрешили разработчики сервиса. Именно для этого и нужны API ключи (`API keys`). 

`API` ключ (или токен, не будем углубляться в разницу между ними) - это уникальный код из символов, который позволяет идентифицировать вас как пользователя, которому разрешено делать запросы. Что-то вроде логина+пароля в одном флаконе (потому что одну строку проще передавать, чем две).

Любой человек, обладающий вашим API ключом имеет **полный** доступ к тому, что использует этот API ключ (если кто-то нехороший узнает API токен вашего бота, он получит полный контроль над ним). Поэтому показывать кому-то API ключ в той же степени плохо, что и давать логин-пароль от какого-то сервиса.


### 1.3 Постановка проблемы.

Мы пишем бота в Телеграме с помощью Python. Нам так или иначе нужно использовать API токен для того, чтобы наш бот работал, а для этого нужно его как-то "получить" внутри программы. 
Конечно, можно его "захардкодить", то есть положить в переменную обычным присвоением. 


In [None]:
my_very_private_token = "abcde12345"


Недостатки такого метода очевидны: любой человек, который увидит наш код, узнает наш API ключ. Это нехорошо, потому что существует много ситуаций, в которых мы хотим кому-то показать свой код.



## 2. Как хранить и использовать API ключи?
Различные (от наименее оптимальных до самых лучших) способы можно посмотреть в видео из ссылки 1 (см в конце методички)

Самый удобный способ - в *специальном* файле `.env` (предпочтительное прочтение - "дотэнв", от англ. "dot" - "точка") и особым образом с ним работать.

Каким таким "особым образом"?



### 2.1 Как хранить данные внутри?

Внутри `.env` должны храниться пары `переменная=значение`, каждая пара в новой строчке. Например, `my_telegram_token=secretcode12345`. 



### 2.2 Как взять данные из этого файла в нашей программе?

Для этого нам понадобится установить модуль `python-dotenv` и использовать функцию оттуда.

Напомню, чтобы поставить модуль, необходимо выполнить команду `pip install python-dotenv` в консоли.

Далее, внутри нашей программы необходимо написать следующее:


In [None]:
from dotenv import load_dotenv

load_dotenv()

Это приведет к тому, что пары `переменная=значение` из нашего файла `.env` будут переведены в `переменные окружения` (**env**ironmental variables). Подробнее про них можно посмотреть по ссылке 1 (см в конце методички).

Не углубляясь в то, что же такое переменные окружения, покажу, как их использовать:

Для этого нужно импортировать модуль `os` и использовать функцию `getenv` (название функции - сокращение от чего-то вроде "get environmental variable" - "получить переменную окружения").

In [None]:
import os
from dotenv import load_dotenv

load_dotenv()
my_tg_token = os.getenv("my_telegram_token")

Выполнение этого кода приведет к тому, что в переменную `my_tg_token` положится значение, которое было в файле `.env` в паре `my_telegram_token=...`

### 2.3 Победа!

Благодаря такому подходу, мы получили необходимый нам токен для взаимодействия с API Телеграма, при этом наш код может видеть кто угодно без угрозы для нас. Главное теперь - не показывать никому файл `.env`.

## 3. Комментарии

С помощью `.env` можно хранить не только API ключи, а вообще любую персональную информацию, которую вы не хотите показывать всем. 

# Где почитать/посмотреть подробнее и с примерами?
# Ссылки
1) Больше про переменные окружения и плохие подходы: https://youtu.be/Y9MRCxq4DIc
2) Отличный видеогайд с доступным изложением и примерами: https://youtu.be/vcDfNvC6Ui4
3) Продолжение ссылки 2 с более продвинутыми подходами: https://youtu.be/8dlQ_nDE7dQ
4) Почитать для тех, кто не любит видео: https://medium.com/nuances-of-programming/нет-жесткому-кодированию-конфиденциальных-данных-в-приложениях-python-77de1f1f8f59