实战blogs-day9-10 API

实战blogs-day9-10 API

标签（空格分隔）： 笔记 API

---

1、 API（Application Programming Interface,应用程序编程接口）
提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。
由于API就是把Web App的功能全部封装了，所以，通过API操作数据，可以极大地把前端和后端的代码隔离，使得后端代码易于测试，前端代码编写更简单。
一个API也是一个URL的处理函数，我们希望能直接通过一个@api来把函数变成JSON格式的REST API，这样，获取注册用户可以用一个API实现如下：

@get('/api/users')
def api_get_users(*, page='1'):
    page_index = get_page_index(page)
    num = yield from User.findNumber('count(id)')
    p = Page(num, page_index)
    if num == 0:
        return dict(page=p, users=())
    users = yield from User.findAll(orderBy='created_at desc', limit=(p.offset, p.limit))
    for u in users:
        u.passwd = '******'
    return dict(page=p, users=users)

只要返回一个dict，后续的response这个middleware就可以把结果序列化为JSON并返回。

我们需要对Error进行处理，因此定义一个APIError，这种Error是指API调用时发生了逻辑错误（比如用户不存在），其他的Error视为Bug，返回的错误代码为internalerror。

2、 REST风格

自从Roy Fielding博士在2000年他的博士论文中提出REST（Representational State Transfer）风格的软件架构模式后，REST就基本上迅速取代了复杂而笨重的SOAP，成为Web API的标准了。

3、JSON

4、middleware
middleware是一种拦截器，一个URL在被某个函数处理前，可以经过一系列的middleware的处理。
一个middleware可以改变URL的输入、输出，甚至可以决定不继续处理而直接返回。middleware的用处就在于把通用的功能从每个URL处理函数中拿出来，集中放到一个地方。例如，一个记录URL日志的logger可以简单定义如下：

5、 正则表达式re

6、 cookie & session

https://www.zhihu.com/question/19786827
用户登录比用户注册复杂。由于HTTP协议是一种无状态协议，而服务器要跟踪用户状态，就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用，可以直接从Session中取出用户登录信息。

Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息，如果有两台以上服务器，就需要对Session做集群，因此，使用Session的Web App很难扩展。

我们采用直接读取cookie的方式来验证用户登录，每次用户访问任意URL，都会对cookie进行验证，这种方式的好处是保证服务器处理任意的URL都是无状态的，可以扩展到多台服务器。

由于登录成功后是由服务器生成一个cookie发送给浏览器，所以，要保证这个cookie不会被客户端伪造出来。

实现防伪造cookie的关键是通过一个单向算法（例如SHA1），举例如下：

当用户输入了正确的口令登录成功后，服务器可以从数据库取到用户的id，并按照如下方式计算出一个字符串：

“用户id” + “过期时间” + SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)

当浏览器发送cookie到服务器端后，服务器可以拿到的信息包括：

• 用户id

• 过期时间

• SHA1值

如果未到过期时间，服务器就根据用户id查找用户口令，并计算：

SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)

并与浏览器cookie中的哈希进行比较，如果相等，则说明用户已登录，否则，cookie就是伪造的。

这个算法的关键在于SHA1是一种单向算法，即可以通过原始字符串计算出SHA1结果，但无法通过SHA1结果反推出原始字符串。
7、 wapper

问题1：

ERROR:aiohttp.server:Error handling request
Traceback (most recent call last):
  File "C:\ProgramData\Anaconda3\lib\site-packages\aiohttp\web_protocol.py", line 381, in start
    resp = await self._request_handler(request)
  File "C:\ProgramData\Anaconda3\lib\site-packages\aiohttp\web_app.py", line 322, in _handle
    resp = await handler(request)
  File "C:\ProgramData\Anaconda3\lib\site-packages\aiohttp\web_middlewares.py", line 88, in impl
    return await handler(request)
  File "E:/studyy/python/webapp/www/app.py", line 47, in logger
    return (await handler(request))
  File "E:/studyy/python/webapp/www/app.py", line 103, in response
    r['__user__'] = request.__user__
AttributeError: 'Request' object has no attribute '__user__'
INFO:aiohttp.access:127.0.0.1 [25/Apr/2018:08:07:35 +0000] "GET / HTTP/1.1" 500 330 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"