FastAPI Security系列之token认证(进阶篇)

最新推荐文章于 2024-10-08 09:44:47 发布
最新推荐文章于 2024-10-08 09:44:47 发布
阅读量8.2k 收藏 28
点赞数 6
分类专栏: # FastApi 文章标签: python jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Disany/article/details/109365066
版权

我们基于FastAPI Security系列之生成token(基础篇)往下深入,上篇说到如何生成token;本篇主要讲述,前端用户获取token过程,要先完成用户登录验证,如果验证通过则返回token令牌;前端用户在拿到令牌后,在token有效期内,携带令牌开始愉快的请求其他API数据吧!

完整代码详解 点击这里可以飞向官网 把代码写出文档,下面开始表演

# -*- coding: UTF-8 -*-
from datetime import datetime, timedelta
import jwt
from fastapi import Depends, FastAPI, HTTPException
from starlette import status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jwt import PyJWTError
from passlib.context import CryptContext  # passlib 处理哈希加密的包
from pydantic import BaseModel

# to get a string like this run: openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"  # 密钥
ALGORITHM = "HS256"  # 算法
ACCESS_TOKEN_EXPIRE_MINUTES = 30  # 访问令牌过期分钟

'''用户数据(模拟数据库用户表);账号:johndoe 密码:secret
   用于我们稍后验证。'''
fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
}

'''FastAPI参数类型验证模型'''
# token url相应模型
class Token(BaseModel):
    access_token: str
    token_type: str

# 令牌数据模型
class TokenData(BaseModel):
    username: str = None

# 用户基础模型
class User(BaseModel):
    username: str
    email: str = None
    full_name: str = None
    disabled: bool = None

 # 用户输入数据模型
class UserInDB(User):
    hashed_password: str

'''为了数据安全,我们利用PassLib对入库的用户密码进行加密处理,推荐的加密算法是"Bcrypt"
其中,我们主要使用下面方法:
	pwd_context.hash(password) # 对密码进行加密
	pwd_context.verify(plain_password, hashed_password) 对密码进行校验
	----- 具体使用可见后面代码 ------
'''
# Context是上下文,CryptContext是密码上下文
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# oauth2_scheme是令牌对象,token: str = Depends(oauth2_scheme)后就是之前加密的令牌
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")
'''
OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送username和password参数,然后得到一个token值。
OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户端用来获取token的目标URL。
当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返回401状态码(UNAUTHORIZED)。
'''

# 这是我们的app应用
app = FastAPI()


# verify_password验证密码
# plain_password普通密码, hashed_password哈希密码
# 返回True和False
def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)

# 获取哈希密码;普通密码进去,对应的哈希密码出来。
def get_password_hash(password):
    return pwd_context.hash(password)

# 模拟从数据库读取用户信息
def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 验证用户
def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user or not verify_password(password, user.hashed_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    return user

# 创建访问令牌(token)
def create_access_token(*, data: dict, expires_delta: timedelta = None):
    to_encode = data.copy()
    expire = datetime.utcnow() + expires_delta  # expire 令牌到期时间
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt

''' ----  登录验证,获取token的接口 --------
	用户发送post请求获取token,后端验证该用户是否存在,密码是否正确。如果验证通过,会生成‘token’给到用户。'''
# name = johndoe    password = secret
@app.post("/token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    # 1、验证用户
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)  # 验证用户
    # 2、access_token_expires访问令牌过期
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)  # timedelta表示两个datetime对象之间的差异。(来自datetime包)
    # 3、create_access_token创建访问令牌
    access_token = create_access_token(data={"sub": user.username},expires_delta=access_token_expires)
    # 返回
    return {"access_token": access_token, "token_type": "bearer"}


########## 新货分界线 ###########

'''数据请求验证
用户拿到token信息后,必须在后续请求中,头信息的Authorization带有Bearer token,才能访问其他数据接口。
下面添加一个校验函数,对请求的合法性进行校验,读取token内容解析并进行验证,验证token通过后,获取接口响应数据'''

# 获取当前用户
# 通过oauth2_scheme,拿到用户请求头文件里的token
async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # jwt 解码
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        # 通常在jwt 解码会进行验证抛出各种异常PyJWTError,如令牌过期等;
        # 获取生成token时候,我们放进去的username信息
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except PyJWTError:
        raise credentials_exception
    # 获取该用户信息
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


# 获取当前激活用户,通过数据库信息及相关条件对用户有效性进行过滤;如该用户存在,密码正确,token验证通过,但数据库字段显示该用户被封号或欠费了(非激活用户),就这此处触发异常,结束访问。
async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user

# 数据请求接口(获得自己的数据库信息),依赖上面的校验函数
@app.get("/users/me/", response_model=User)
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

代码跑起来,进行测试

登录验证获取token
在这里插入图片描述
我们先不加token,直接请求数据接口,看一下访问截图
在这里插入图片描述
我们在头信息中:增加Authorization:Bearer token,才能访问其他数据接口
在这里插入图片描述
下图和上图请求一样,只是token添加的位置不一样,响应结果是一致的。看个人喜好哈。
在这里插入图片描述

搬砖的Fish
关注
专栏目录
fastapi-security:将身份验证和授权实现为FastAPI依赖项
05-02
FastAPI安全 通过依赖关系向您的FastAPI应用程序添加身份验证和授权。 安装 pip install fastapi-security 文献资料 。
fastapi-security:用FastAPI实施安全策略的正确方法!
04-11
FastAPI安全策略 每个文件夹包含不同的策略,以使用FastAPI验证用户/客户端/应用程序。 所有策略都使用dictionary作为数据库。 我们有:
Python FastApi 实现签名验证
爱分享的小猿
10-02 919
大家在写后台接口时,都想要设计一个安全的,稳定的架构来支持各种业务,此文章介绍的Token的机制,和签名的验证。Token作为鉴权,签名作防篡改。
FastAPI】在FastAPI中实现用户登录和Token认证JWT)并展示到Swagger UI
最新发布
h1773655323的博客
10-08 1560
在现代的Web应用中,用户认证是非常关键的部分。无论是构建一个简单的API还是复杂的Web应用,保护用户数据和验证用户身份都是必不可少的。JWT(JSON Web Token)是一种非常流行的认证机制,结合FastAPI的强大功能,可以轻松实现基于Token的用户认证。在本文中,我们将介绍如何在FastAPI中实现用户登录,生成JWT Token,并通过该Token保护API路由。同时,我们还会展示如何在Swagger UI中使用这些接口进行测试和演示。JWT(JSON Web Token)是一种紧凑的、U
FastAPI——token验证
weixin_71560103的博客
12-12 1400
这里的APIResponse是我自己定义的一个函数,用来处理返回数据的,大家这里可以自行忽略,同时我这里也使用了md5加密的一个形式,在前后端交互中,前端也可以处理加密,后端也可以,这个可以大家自行沟通,并且我这里也只是提供一个逻辑而已 ,后续我们再讲一下token的验证如何处理。然后我们再回到函数中,data为加密数据,是我们需要再登录时去处理的用户数据,然后expires_delta为过期时间,然后我们再回到我们的接口中去。这种方式来进行密钥的生成,规范的生成模式还是以官网的那种方式去生成。
fastApi用户认证token验证
2302_79777012的博客
03-30 307
【代码】fastApi用户认证token验证。
【九】fastapi+vue实现token验证登录
weixin_42916710的博客
05-16 985
退出登录直接清楚tokenfastapi使用的jwt做的验证: https://fastapi.tiangolo.com/zh/tutorial/security/oauth2-jwt/token_verify.py 三个方法,
fastapi身份认证
fggdgh的博客
12-10 2768
fastapi OAuth2用户认证
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 5278
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
FastAPI进阶篇】:掌握高效API构建的关键技巧,进阶高手
[【FastAPI进阶篇】:掌握高效API构建的关键技巧,进阶高手](https://opengraph.githubassets.com/35c19be6829d223cb15fc2de230060b68fd1be1b5cb5a0b1696dd37550d8708b/pydantic/pydantic/discussions/8976) ...
【进阶】FastAPI中的用户认证与授权
[【进阶】FastAPI中的用户认证与授权](https://img-blog.csdnimg.cn/a05bd7640a8a47a782f0af66302ece48.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU0FQ5bCP55m9a2Vubnk=,size_...
FastAPI安全实践】:认证授权机制详解,守护API安全
[【FastAPI安全实践】:认证授权机制详解,守护API安全](https://opengraph.githubassets.com/aa16f05bb9133ad0bb3413a1eec772b80150b2badb6f1a7483272f23e856e7e3/amisadmin/fastapi-user-auth) # 1. FastAPI安全...
【进阶】FastAPI中的数据验证
[【进阶】FastAPI中的数据验证](https://img-blog.csdnimg.cn/6dcd99114b09457197d9064780a702f9.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAamltbXlsZWVlZQ==,size_20,color_...
FastAPI快速入门】:新手必学的项目搭建和基础应用指南
FastAPI是一个现代、快速的Web框架,用于构建API,具有高性能和易于学习的特点。它基于Python 3.6+的类型提示,能够提供自动化的交互式API文档,且支持异步操作,能显著提升应用程序的处理效率。 ## 1.2 环境搭建 ...
fastapi中间件验证token
weixin_42422720的博客
01-19 1119
现在,当客户端发送HTTP请求时,中间件函数 verify_token() 将会在处理请求之前运行。如果请求未包含有效的Token,服务器将返回状态码为403的错误响应;否则,请求将继续传递给目标路由进行处理。
python-fastapi-token的创建与验证
weixin_42100456的博客
10-17 3932
JWT token认证登陆 前一篇博客讲述了获取和验证请求参数, 这一篇就实践下,演示一个最基础的JWT认证,我公司是用了两个token方式验证,一个请求token,一个刷新token,请求token过期时间短,专门用于请求数据,刷新token专门用于刷新过期请求token用的。 jwt官网 https://jwt.io/ 如果还有不懂JWT的,就需要好好看看JWT的知识了,JWT认证目前是前后端分离中非常流行的一种认证方式: 由三段组成 第一段通常是加密算法,第二段是你存储的自定义信息(未加密
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁
gitblog_00028的博客
06-18 551
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁 fastapi-securityImplements authentication and authorization as FastAPI dependencies项目地址:https://gitcode.com/gh_mirrors/fa/fastapi-security 在日益复杂且数据敏感的Web开发环境中,...
FastAPI中的token验证
weixin_71560103的博客
12-13 1286
在这里我们将错误类型进行了导入,其实应该还有一部分其他类型的错误,我这里只是简单使用了一下,然后指定token类型为str,并且导入Header,将从这里获取我们的token,然后并对token解码进行验证,这样,就完成了我们的token验证函数。在这里我们需要导入Depends,将我们的验证函数进行注入至接口,这样fastapi在前端进行请求的时候会自动运行这个函数verify_jwt,这样就是一个简单的token验证了。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值