Syntax | سینتکس

درود من علیرضا، توسعه دهنده بک اند وب هستم(پایتون و گولنگ). تقریبا 4 سال پیش برنامه نویسی رو با زبان پایتون شروع کردم. کمی بعدش رفتم سمت وب و با جنگو آشنا شدم. زبان گولنگ رو چند ماهی میشه شروع کردم و باهاش چند تا وب سرور با gin و net/http و fiber زدم. البته دوست دارم تو آینده با تمرکزی بیشتری ادامه بدمش. به قول لینکدینی ها «امسال تصمیم گرفتم که چالش جدیدی رو تجربه کنم. اصلنم ربطی به این نداره که الان بیکارم و دنبال کار میگردم» خوشحال میشم اگه تو تیمتون دنبال یه بک اند دولوپر با انگیزه و خلاق هستید، بهم خبر بدید. (ریموت و یا حضوری تهران)

چند نکته مهم وقتی تو جنگو از سواگر استفاده می کنی(پکیج drf-spectacular) اولین چیزی که میخوام بگم اینه با خودتون فکر نکنید سواگر پروژه رو آوردید بالا دیگه همه چی تمومه و بصورت اتوماتیک براتون به درستی schema ای پی آی های شمارو مشخص می کنه. تو این پست قراره چند تا از مشکلات رایج و نحوه برطرف کردنش رو بررسی کنیم. اشتباه نشون دادن request و response ای پی آی ها: رایج ترین مشکل این مورد هستش که خیلی وقتا ورودی و یا خروجی api رو اشتباه نشون میده. یا اصلا ریسپانس شما چند تا حالت داره مثل: 200 406 401 اما بصورت اتوماتیک نمیتونه این موارد رو تشخصی بده. پس راه حل چیه؟ استفاده از دکوریتور extend_schema بالای متد هاتون. مثلا:

    @extend_schema(request=RefreshAccessTokenSerializer, responses={
        200: OpenApiResponse(response=AccessTokenSerializer, description="new access token"),
        401: OpenApiResponse(description="invalid access token")}, tags=SCHEMA_TAGS)
    def post(self, request):
        ...

ریکوئست رو توی request و ریسپانس هارو به این شکل توی responses مشخص می کنیم. مشخص کردن تگ ها: اگه api هاتون به این صورت شروع بشه: /api/v1/ تگ همه api های شما v1 میشه و خوانایی رو میاره پایین. برای برطرف کردن این مشکل تگ هارو بصورت دستی مشخص می کنیم. مثلا:

    @extend_schema(tags=("Auth",))
    def post(self, request):
        ...

محدود کردن دسترسی به سواگر اگه دوست دارید سواگر پروژه رو فقط ادمین بتونه ببینه، توی تنظیمات spectacular این موارد رو اضافه کنید:

# Spectacular
SPECTACULAR_SETTINGS = {
    'SERVE_INCLUDE_SCHEMA': True,
    # OTHER SETTINGS
    'PLUGINS': [
        'drf_spectacular.plugins.AuthPlugin',
    ],
    'SERVE_PERMISSIONS': ['rest_framework.permissions.IsAdminUser'],
    # Auth with session only in docs without effect to api
    'SERVE_AUTHENTICATION': ["rest_framework.authentication.SessionAuthentication",
                             "rest_framework_simplejwt.authentication.JWTAuthentication"],
}

توضیح: پرمیشن رو تنظیم کرده که حتما ادمین باید باشه. همچنین authentication رو به دو روش سشن و توکن مشخص کردیم. #Django #Swagger @Syntax_fa

چالش طراحی سیستم ارسال نوتیفیکیشن در نظر بگیرید که قراره یه سرویس نوتیفیکیشن رو طراحی کنید که شرایط زیر رو داشته باشه: - بتونه برای همه کاربران سیستم (بیش از ۵۰ میلیون کاربر) نوتیفیکیشن ارسال کنه - بتونه برای یک سری از کاربران (مثلا ۱۰ میلیون کاربر) نوتیفیکیشن ارسال کنه - بشه از طریق کانال های مختلف (ایمیل، پیامک، نوتیفیکیشن درون برنامه ای) ارسال کرد - بشه نوتیفیکیشن های درون برنامه ای کاربران رو ردیابی کرد که وضعیت شون خوانده شده، خوانده نشده است دغدغه اول، طراحی دیتابیس رو چطور انجام میدید که هم نوتیفیکیشن سیستمی رو پشتیبانی کنه و هم نوتیفیکیشن برای تعدادی کاربر؟ به ازاء هر کاربر یک رکورد در دیتابیس ذخیره می کنید؟ چه دیتابیسی رو استفاده می کنید؟ دغدغه دوم، ارسال این همه نوتیفیکیشن از طریق کانال های مختلف رو چطوری مدیریت می کنید؟ از چه ابزارهایی استفاده می کنید؟ دغدغه سوم، مدیریت وضعیت نوتیفیکیشن های درون برنامه ای رو چطوری انجام میدید؟‌از چه الگو و چه ابزارهایی استفاده میکنید؟ اگه تمایل داشتید نظر بدید میتونید ویس بفرستید تو کامنت اگه در مورد این چالش طراحی منبع خوبی رو میشناسید لینکش رو به اشتراک بذارید @gocasts #challenge @Syntax_fa

نظر شخصی خودم: اگه معرفی دوره هارو دیدی که میگن شیش ماه وقت بذار برنامه نویست میکنم و با حقوق عالی وارد بازار کار میشی. قطعا درست نیست. درصد بالای شکست یکیش همین مورد هستش. از بیرون همه چی خوب بنظر میرسه ولی وقتی وارد میشی میبینی قضیه کلا فرق میکنه و خب ول میکنی میری. در نهایت فرقی نمیکنه تحصیلات آکادمیک دارید یا نه. باید بتونید خودتون رو تبدیل به یه برنامه نویس کنید. ولی اگه آکادمیک رو هم پیش ببرید مسیر براتون راحت تر میشه.

بیاید یکم علمی صحبت کنیم (مواردی هم غیر علمی و نظر شخصی😁) انسان توانمندی دیدن آینده رو نداره، روش، پیش‌بینی هست و روش پیش‌بینی، سری زمانی و منبع آمار هست پس با آمار صحبت می کنیم ، آمار که stack overflow سالانه می گیره ۸۴٪ برنامه نویس های دنیا تحصیلات آکادمیک در رشته‌های ict دارند و در سطوح حرفه‌ای این به ۹۴٪ میرسه،(ایران هم همینه، قبلا جادی سالانه آمار می گرفت) این آمار موفق شده ها هست، کسانی که  مسیر برنامه نویسی رو اومدن و موفق نشدن برنامه نویس بشن رو نداریم پس من اینجا نظر شخصی خودم رو میدم، برحسب تجربه شخصی از هر ۱۰ نفر که سمت این فیلد میان شاید ۱-۲ نفر برنامه نویس بشن متاسفانه الان اکثریت(نه همه) سیستم آموزشی غیر رسمی مثل سایت های که دوره می فروشند و منتورها و... از آموزش درآمدی ندارند، از رویا فروشی درآمد دارند، مگر جامعه برنامه نویس های ایران چند نفر هست ، که اینقدر بازار بزرگی شده؟ بدبختانه شما نمی خواهد نگران اون حجم افراد ورود به بازار باشید اونها فقط و فقط ۱۶٪ بازار برنامه نویسی رو می گیرند و در سطوح حرفه‌ای ۶٪ و از سمت دیگه اکثرا فقط جیب یک سری افراد رو پر می کنند و با ضرر مالی از بازار میرن😔 راستی بازار آموزش غیر رسمی جزیی از بازار کار ict و رکن مهمی از این بازار هست و بودنش لازم ، و سازمان و افرادی هستند که تلاش می کنند و دوره ها و... خوب ارایه میدن و ارزشمند هم هست، شما فقط تسلط علمی تو زیاد کن و ارتباطات خوبی بساز هیچ مشکلی در کسب کار و درآمد نخواهی داشت، ارتباطات خیلی خیلی مهمه (طبیعتاًsoft skills بحث مهمی در ارتباطات هست) [rahim firouzi] @Syntax_fa

شرکتی که این موقع شب رزومه هارو چک میکنه قطعا به برنامه نویساشون خیلی اهمیت میدن که با تایم خوابشون هماهنگن😂

اپشن های کلاس متا مدل های جنگو به همراه توضیح #django @Syntax_fa

مزدور دنیای برنامه نویسی کیست !! مزدور دنیای برنامه‌نویسی یک شخصیت خنده‌دار و البته بسیار رایج در این عرصه است. او دارای ویژگی‌های منحصر به‌فردی است که باعث می‌شود در هر شرایطی آماده به خدمت باشد، حتی اگر کاملاً از موضوع بی‌اطلاع باشد. ویژگی‌های مزدور دنیای برنامه‌نویسی: ١. جملات تکراری و آرام‌بخش: «بله حتماً»، «چشم، قربان»، «شما دستور بدید، من انجام می‌دم» از جملات محبوب او هستند که در هر شرایطی آنها را تکرار می‌کند. ٢. مهارت‌های گوناگون اما سطحی: اگر از او بپرسید با چه زبان‌هایی کار می‌کند، لیستی از تمام زبان‌های برنامه‌نویسی را برایتان می گوید(بنده با اسمبلی، سی و پلاس پلاس، سی شارپ، پایتون، پی اچ پی، جی اس و خلاصه زبونی نیست که توش سر رشته نداشته باشه)، اما در عمل تنها یکی دو زبان را در سطح ابتدایی بلد است. ٣. رزومه های اغراق‌آمیز: در رزومه او عناوینی مانند «مهندس نرم‌افزار ارشد»، «توسعه‌دهنده Full-Stack» و «متخصص هوش مصنوعی» درج شده است، اما در واقع او تنها یک برنامه‌نویس مبتدی است(نهایتا با کمک جد و خاندان هوش مصنوعی بتونی کد بزنه). ۴. ادعاهای توی خالی: مزدور دنیای برنامه‌نویسی همیشه ادعاهای بزرگی دارد و می‌گوید می‌تواند پروژه‌های عظیم و پیچیده را در زمان کوتاهی تحویل دهد، اما در عمل کارش چندان تمیز نیست(در واقع خود کثیفه). ۵. سر و گردنه بالا: او حاضر است برای هر پروژه‌ای، حتی پروژه‌های کاملاً خارج از حیطه تخصصش، قیمت های نجومی بگیرد و همیشه ادعا می‌کند که تنها او می‌تواند آن پروژه را به خوبی انجام دهد(جون جدم کسی نیست در حدم). ۶. مصاحبه‌های فریبنده: در مصاحبه‌های استخدامی، مزدور دنیای برنامه‌نویسی با زبان چرب و نرم خود سعی می‌کند کارفرما را گول بزند و خود را حرفه‌ای‌تر از آنچه هست جلوه دهد(بالاخره که لو میری مرد/زن حسابی). در کل، مزدور دنیای برنامه‌نویسی شخصیتی کمدی طور دارد که با ادعاهای بزرگ و وعده‌های توخالی و پروفایل حرفه ای(مبادا بدون دوربین کانن عکس بگیری) سعی می‌کند خود را حرفه‌ای جلوه دهد، اما در عمل چندان تخصص و تجربه‌ای ندارد. با این حال، حضور چنین افرادی در این حرفه نشان‌دهنده اهمیت و درآمدزایی آن است که باعث جذب افراد مزدور می‌شود. #مزدور #fun @Syntax_fa

باگ اینستاگرام باگ در بخش تصدیق شماره موبایل بوده برای دریافت لینک reset password که بواسطه ایجاد شرایط رقابتی، مهاجم امکان تعریف کردن یک شماره موبایل نا صحیح رو پیدا میکرد. https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000/ #instagram #bug @Syntax_fa

راه حل ها: 1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره. البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی . 2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir 3. بنظرم Csrf هم در کنار کپچا جوابگوئه اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد روش پیشنهادی شما چیه؟ #otp @Syntax_fa

🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️ اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید. 💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه. 📝 شرح موضوع: اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه. 🔍 عمق مساله: ۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره. همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد. ۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه! ✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم: ۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند. ۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه. ✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه. ✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه. ✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید. [Ali soleimani] #otp @Syntax_fa

وقتی تو گروه های برنامه نویسی ملت کسیو میبینن که تازه میخواد یاد بگیره: تازه کار: الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم. باز به درد بک اند دولوپر میخورم‌؟ ممد: زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره مهدی: الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟ داداش این الکی میگه من خودم از زبون جنگو استفاده کردم تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui  رو دیزاین کنیم برای پروژه های فرانت اندیمون دوباره ممد: داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه #fun @Syntax_fa

دوستانی که قصد مهاجرت دارند یا قصد ورود به دنیای دواپس دارند این ویس گوش بدهند. از این لینک میتونید ویتینگ لیست پر کنید. https://adplist.org/mentors/ahmadali-bagheri

https://github.com/radinparhami/TempoMail ایجاد ایمیل موقت و دریافت پیام ازش و .... کاملا رایگانه API-Key هم نیاز نداره حتی [Radin] @Syntax_fa

پراکندگی موقعیت شغلی بک اند پایتون هر چی تیره تر یعنی بیشتره منبع: https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/ #python @Syntax_fa

شرکت راکستار گیمز بعد دیدن این آگهی چه حالی داره؟ 😂 #fun @Syntax_fa