# Module 14 — Contacts API Walkthrough

Цей notebook дозволяє покроково перевірити кожен endpoint API.  
Одна клітина = один крок. Токен зберігається між клітинами автоматично.

**Передумова:** запустити docker-compose перед початком
```bash
cd module_14/contacts_api
docker-compose up -d
```

| Сервіс | URL |
|--------|-----|
| API (Swagger) | http://localhost:8000/docs |
| Web UI | http://localhost:8000/app/login.html |
| MailHog | http://localhost:8025 |

---

## Cell 0 — Setup

Запускаємо один раз. Всі наступні клітини використовують ці змінні.

In [27]:
import httpx
import json
import time

BASE = "http://127.0.0.1:8000"

# Змінні стану — заповнюються по ходу виконання клітин
access_token = None
refresh_token = None
contact_id = None

def pretty(r):
    """Вивести статус + JSON відповідь красиво."""
    print(f"HTTP {r.status_code}")
    try:
        print(json.dumps(r.json(), indent=2, ensure_ascii=False))
    except Exception:
        print(r.text or "(no body)")

print("✅ Setup готовий")

✅ Setup готовий


---
## Блок 1 — Auth
### 1.1 Health Check

Перевіряємо що API запущений.

In [28]:
r = httpx.get(f"{BASE}/healthz")
pretty(r)
# Очікуємо: HTTP 200  {"status": "ok"}

HTTP 200
{
  "status": "ok"
}


### 1.2 Register

`POST /api/v1/auth/register` — створює акаунт і надсилає лист у MailHog.  
Статус `201 Created`, у відповіді — об'єкт User (без пароля).

In [None]:
r = httpx.post(f"{BASE}/api/v1/auth/register", json={
    "email": "demo88@example.com",
    "password": "Secret123!"
})
pretty(r)
# 201 → акаунт створено, перевір http://localhost:8025
# 409 → email вже зареєстровано

HTTP 201
{
  "id": 5,
  "email": "demo44@example.com",
  "is_verified": false,
  "avatar_url": null,
  "created_at": "2026-02-21T13:18:49.033729Z"
}


### 1.3 Verify Email

1. Відкрий **http://localhost:8025** (MailHog)
2. Знайди лист з темою "Verify your email"
3. Скопіюй токен з посилання (частина після `/verify/`)
4. Вставте нижче у `email_token = "..."`

> **Чому окремий токен?** Access token не підходить — він має `purpose: "access"`.  
> Email token має `purpose: "email_verify"` + TTL 24 год. Це захист від підміни.

In [35]:
email_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vNDRAZXhhbXBsZS5jb20iLCJwdXJwb3NlIjoiZW1haWxfdmVyaWZ5IiwiZXhwIjoxNzcxNzY2MzI5fQ.RK26kWE6-EmyjoAyJz7M6A01Z_qxgA4cFvLZ43TWi3o"

r = httpx.get(f"{BASE}/api/v1/auth/verify/{email_token}")
pretty(r)
# 200 → {"message": "Email verified. You can now log in."}
# 400 → токен протермінований або невалідний

HTTP 200
{
  "message": "Email already verified."
}


### 1.4 Login

`POST /api/v1/auth/login` — повертає `access_token` (30 хв) і `refresh_token` (7 днів).

> **Важливо:** цей endpoint приймає **form-data** (не JSON), бо реалізує `OAuth2PasswordRequestForm`.  
> Браузер і Postman типово відправляють `application/x-www-form-urlencoded`.

In [39]:
r = httpx.post(f"{BASE}/api/v1/auth/login", data={
    "username": "demo44@example.com",  # поле зветься username (OAuth2 стандарт)
    "password": "Secret123!"
})
pretty(r)

if r.status_code == 200:
    tokens = r.json()
    access_token = tokens["access_token"]
    refresh_token = tokens["refresh_token"]
    print(f"\naccess_token збережено: {access_token[:50]}...")

HTTP 200
{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vNDRAZXhhbXBsZS5jb20iLCJwdXJwb3NlIjoiYWNjZXNzIiwiZXhwIjoxNzcxNjgyNTg4fQ.JX-DaCtDHtNaQv9L6DrZkruw_bVUhMp8nuGqvDZnDQ4",
  "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vNDRAZXhhbXBsZS5jb20iLCJwdXJwb3NlIjoicmVmcmVzaCIsImV4cCI6MTc3MjI4NTU4OH0.vfIN6V6eNb80_0220bTlmBdxA7oID4EJ15DkxSlfcns",
  "token_type": "bearer"
}

access_token збережено: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZ...


### 1.5 Login без верифікації (403 demo)

Що буде якщо спробувати увійти з непідтвердженим email?  
API повертає `403 Forbidden` (а не `401`) — щоб клієнт міг показати правильне повідомлення.

In [40]:
# Реєструємо нового юзера
httpx.post(f"{BASE}/api/v1/auth/register", json={
    "email": "unverified@example.com",
    "password": "Test123!"
})

# Одразу намагаємось залогінитись — без верифікації
r = httpx.post(f"{BASE}/api/v1/auth/login", data={
    "username": "unverified@example.com",
    "password": "Test123!"
})
pretty(r)
# 403 Forbidden — "Email address is not verified. Check your inbox."

HTTP 403
{
  "detail": "Email address is not verified. Check your inbox."
}


### 1.6 Refresh Token

Access token протерміновується за 30 хвилин. Клієнт використовує refresh token щоб отримати новий — без повторного логіну.

In [9]:
r = httpx.post(f"{BASE}/api/v1/auth/refresh", json={
    "refresh_token": refresh_token
})
pretty(r)

if r.status_code == 200:
    access_token = r.json()["access_token"]
    print("\nNew access_token отримано ✓")

HTTP 200
{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vMUBleGFtcGxlLmNvbSIsInB1cnBvc2UiOiJhY2Nlc3MiLCJleHAiOjE3NzE2NzkzNzF9.EoCKfcGuREE4GUOTqwDw4WO1SiHSebN4j2tcDaVBWRk",
  "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vMUBleGFtcGxlLmNvbSIsInB1cnBvc2UiOiJyZWZyZXNoIiwiZXhwIjoxNzcyMjgyMzcxfQ.vU4yHPYG-Ye-FBl48R4EknYR8rmCnx8TQ-0SPGeubM8",
  "token_type": "bearer"
}

New access_token отримано ✓


---
## Блок 2 — User Profile
### 2.1 Мій профіль

In [None]:
# tmp = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vMUBleGFtcGxlLmNvbSIsInB1cnBvc2UiOiJhY2Nlc3MiLCJleHAiOjE3NzE2NzkzNzF9'
auth_headers = {"Authorization": f"Bearer {access_token}"}

r = httpx.get(f"{BASE}/api/v1/users/me", headers=auth_headers)
pretty(r)
# {"id": 1, "email": "...", "is_verified": true, "avatar_url": null}

HTTP 200
{
  "id": 5,
  "email": "demo44@example.com",
  "is_verified": true,
  "avatar_url": null,
  "created_at": "2026-02-21T13:18:49.033729Z"
}


---
## Блок 3 — Contacts CRUD
### 3.1 Створити контакт

In [44]:
r = httpx.post(f"{BASE}/api/v1/contacts/", headers=auth_headers, json={
    "first_name": "Іван",
    "last_name": "Франко",
    "email": "ivan@example.com",
    "phone": "+380501234567",
    "birthday": "1856-08-27"
})
pretty(r)
# 201 Created

if r.status_code == 201:
    contact_id = r.json()["id"]
    print(f"\ncontact_id = {contact_id}")

HTTP 201
{
  "id": 3,
  "first_name": "Іван",
  "last_name": "Франко",
  "email": "ivan@example.com",
  "phone": "+380501234567",
  "birthday": "1856-08-27",
  "notes": null,
  "created_at": "2026-02-21T13:45:08.910125Z"
}

contact_id = 3


### 3.2 Список контактів

In [49]:
r = httpx.get(f"{BASE}/api/v1/contacts/", headers=auth_headers)
contacts = r.json()
print(f"HTTP {r.status_code} — всього: {len(contacts)}")
for c in contacts:
    print(f"  [{c['id']}] {c['first_name']} {c['last_name']} | {c.get('email', '—')}")

HTTP 200 — всього: 2
  [3] Іван Франко | ivan@example.com
  [4] Тараса Шевченко | None


### 3.3 Пошук

In [52]:
r = httpx.get(f"{BASE}/api/v1/contacts/", headers=auth_headers,
              params={"search": "Т"})
pretty(r)
# Фільтрація по first_name, last_name, email

HTTP 200
[
  {
    "id": 5,
    "first_name": "Тарас",
    "last_name": "Київ",
    "email": null,
    "phone": null,
    "birthday": null,
    "notes": null,
    "created_at": "2026-02-21T13:48:49.656384Z"
  },
  {
    "id": 4,
    "first_name": "Тараса",
    "last_name": "Шевченко",
    "email": null,
    "phone": "6644",
    "birthday": null,
    "notes": null,
    "created_at": "2026-02-21T13:46:24.494053Z"
  }
]


### 3.4 Один контакт

In [55]:
contact_id = 4

In [56]:
r = httpx.get(f"{BASE}/api/v1/contacts/{contact_id}", headers=auth_headers)
pretty(r)

HTTP 200
{
  "id": 4,
  "first_name": "Тараса",
  "last_name": "Шевченко",
  "email": null,
  "phone": "6644",
  "birthday": null,
  "notes": null,
  "created_at": "2026-02-21T13:46:24.494053Z"
}


### 3.5 PATCH — часткове оновлення

Тільки передані поля змінюються. Решта залишається без змін.

In [57]:
r = httpx.patch(f"{BASE}/api/v1/contacts/{contact_id}",
                headers=auth_headers,
                json={"phone": "+380999999999"})
pretty(r)
# Тільки phone змінився, birthday залишився 1856-08-27

HTTP 200
{
  "id": 4,
  "first_name": "Тараса",
  "last_name": "Шевченко",
  "email": null,
  "phone": "+380999999999",
  "birthday": null,
  "notes": null,
  "created_at": "2026-02-21T13:46:24.494053Z"
}


### 3.6 PUT — повна заміна

Всі поля замінюються. Відсутні поля → null (або default).

In [58]:
r = httpx.put(f"{BASE}/api/v1/contacts/{contact_id}",
              headers=auth_headers,
              json={
                  "first_name": "Іван",
                  "last_name": "Франко",
                  "email": "ivan.franko@example.com",
                  "phone": "+380501234567",
                  "birthday": "1856-08-27"
              })
pretty(r)
print(f"\nEmail оновлено: {r.json().get('email')}")

HTTP 200
{
  "id": 4,
  "first_name": "Іван",
  "last_name": "Франко",
  "email": "ivan.franko@example.com",
  "phone": "+380501234567",
  "birthday": "1856-08-27",
  "notes": null,
  "created_at": "2026-02-21T13:46:24.494053Z"
}

Email оновлено: ivan.franko@example.com


### 3.7 Birthdays — Redis cache demo

Перший виклик — запит до PostgreSQL.  
Другий виклик (протягом 1 год.) — відповідь із Redis кешу.  
Перевіряємо різницю у часі відповіді.

> Ключ кешу: `birthdays:{user_id}:{today}` — автоматично інвалідується наступного дня.

In [59]:
# Спочатку додаємо контакт з найближчим днем народження
from datetime import date, timedelta
soon = (date.today() + timedelta(days=3)).isoformat()

httpx.post(f"{BASE}/api/v1/contacts/", headers=auth_headers, json={
    "first_name": "Тест",
    "last_name": "Юбіляр",
    "birthday": soon
})

# 1-й виклик — DB hit
t0 = time.perf_counter()
r1 = httpx.get(f"{BASE}/api/v1/contacts/birthdays", headers=auth_headers)
t1 = time.perf_counter()

# 2-й виклик — з Redis
r2 = httpx.get(f"{BASE}/api/v1/contacts/birthdays", headers=auth_headers)
t2 = time.perf_counter()

print(f"1-й виклик (DB):    {(t1-t0)*1000:.1f} мс")
print(f"2-й виклик (cache): {(t2-t1)*1000:.1f} мс")
print(f"\nРезультат: {json.dumps(r1.json(), indent=2, ensure_ascii=False)}")

1-й виклик (DB):    62.4 мс
2-й виклик (cache): 51.6 мс

Результат: [
  {
    "id": 6,
    "first_name": "Тест",
    "last_name": "Юбіляр",
    "birthday": "2026-02-24",
    "days_until": 3
  }
]


### 3.8 Видалити контакт

`DELETE` повертає `204 No Content` — тіло відповіді порожнє.

In [60]:
r = httpx.delete(f"{BASE}/api/v1/contacts/{contact_id}", headers=auth_headers)
print(f"HTTP {r.status_code}")  # 204

# Перевіряємо — контакт зник
r2 = httpx.get(f"{BASE}/api/v1/contacts/{contact_id}", headers=auth_headers)
print(f"GET після DELETE: HTTP {r2.status_code}")  # 404

HTTP 204
GET після DELETE: HTTP 404


---
## Блок 4 — Rate Limiting
### 4.1 Демонстрація 429

`POST /login` має ліміт **10 запитів на хвилину** (SlowAPI + Redis).  
Після перевищення — `429 Too Many Requests`.

In [62]:
print("Надсилаємо 12 запитів login...\n")

for i in range(1, 13):
    time.sleep(0.2)
    r = httpx.post(f"{BASE}/api/v1/auth/login",
                   data={"username": "x1@x.com", "password": "wrong"})
    status = r.status_code
    mark = "⛔" if status == 429 else "  "
    print(f"  {mark} [{i:02d}] HTTP {status}")
    if status == 429:
        print(f"         → {r.json().get('detail', '')}")
        break

# SlowAPI використовує IP адресу як ключ + Redis для зберігання лічильника

Надсилаємо 12 запитів login...

  ⛔ [01] HTTP 429
         → Rate limit exceeded: 10 per 1 minute. Try again later.


---
## Блок 5 — Logout & Token Blacklist
### 5.1 Logout

JWT токен не можна видалити (він stateless). Замість цього:  
1. Refresh token заноситься у Redis blacklist  
2. При наступному `/refresh` — перевіряємо blacklist → `401`

In [63]:
# Logout — занести refresh_token у Redis blacklist
r = httpx.post(f"{BASE}/api/v1/auth/logout",
               json={"refresh_token": refresh_token})
print(f"Logout: HTTP {r.status_code}")  # 204 No Content

# Спроба використати той самий refresh_token знову
r2 = httpx.post(f"{BASE}/api/v1/auth/refresh",
                json={"refresh_token": refresh_token})
print(f"\nRefresh після logout: HTTP {r2.status_code}")  # 401
pretty(r2)

Logout: HTTP 204

Refresh після logout: HTTP 200
HTTP 200
{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vNDRAZXhhbXBsZS5jb20iLCJwdXJwb3NlIjoiYWNjZXNzIiwiZXhwIjoxNzcxNjg0MTY2fQ.pfFOxdUBli7HC1imc43LdFmJWjJfrxMhC8d2e3Ib0Vs",
  "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJkZW1vNDRAZXhhbXBsZS5jb20iLCJwdXJwb3NlIjoicmVmcmVzaCIsImV4cCI6MTc3MjI4NzE2Nn0.VQO8PZVeW_2L8G8Z6D8nIvC5_LGuZ8L4vpTPkV440iA",
  "token_type": "bearer"
}


---
## Підсумок

| Endpoint | Метод | Особливості |
|----------|-------|-------------|
| `/auth/register` | POST | Rate limit 5/min, надсилає email |
| `/auth/verify/{token}` | GET | JWT з purpose=email_verify |
| `/auth/login` | POST | form-data, rate limit 10/min, 403 якщо не verified |
| `/auth/refresh` | POST | Перевіряє Redis blacklist |
| `/auth/logout` | POST | Заносить refresh token у Redis, 204 |
| `/users/me` | GET | Потребує Bearer token |
| `/contacts/` | GET | Пошук + пагінація |
| `/contacts/` | POST | Інвалідує cache після створення |
| `/contacts/birthdays` | GET | Redis cache-aside, TTL 1 год |
| `/contacts/{id}` | PATCH | Часткове оновлення |
| `/contacts/{id}` | DELETE | 204, інвалідує cache |

**Web UI:** http://localhost:8000/app/login.html