fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证

已于 2024-03-06 15:36:56 修改
阅读量782 收藏 7
点赞数 10
分类专栏: fastApi 文章标签: python fastapi
于 2024-02-28 15:49:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a54288447/article/details/136293332
版权

JWT

JWT(Json Web Token)是一种可以跨域的认证方案

jwt由三部分构成:

头部header:头部包含算法和token类型

核载payload:这部分用来保存自定义信息

签名signature:使用header和payload以及提供的秘钥,用header指定的算法进行签名

三个部分都是使用base64进行编码,并用.隔开

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

payload部分标准声明

iss: jwt签发者,一般是作者或公司域名

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

OAuth2 

OAuth2 规范要求使用密码流时,必须以表单格式发送username和password,并且这两个字段必须命名为username和password

OAuth2 实现密码哈希与 Bearer JWT 令牌验证

密码哈希需要使用passlib库,并且指定bcrypt算法

pip install passlib[bcrypt]

 jwt生成解析使用python-jose库

pip install python-jose[cryptography]

密码哈希

from passlib.context import CryptContext

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


def verify_password(plain_password, hashed_password):
    """校验密码哈希"""
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    """生成密码哈希"""
    return pwd_context.hash(password)

获取用户

在生成jwt时,会在header部分添加用户信息,认证时,需要先解析jwt,解析成功后还需要判断解析出来的用户信息在数据库是否存在。

# 数据库用户表
fake_users_db = {
    # 用户记录
    "kael": {
        "login_name": "kael",
        "hashed_password": get_password_hash("111111")
    }}


def get_user(db, username: str):
    # 这个方法实际效果应该是从数据库获取对应的用户,db应该是一个数据库操作句柄,username是登录接口传的登录名
    if username in db:
        user_dict = db[username]
        return user_dict  # 这里实际使用可以生成用户模型的实例返回



def authenticate_user(db, username: str, password: str):
    """验证用户"""
    # 判断用户是否存在
    user = get_user(db, username)
    if not user:
        return False
    # 用户密码哈希是否正确
    if not verify_password(password, user["hashed_password"]):
        return False
    return user

假设fake_users_db 是数据库表,kael是一条login_name为kael的用户记录。

jwt生成和解析

from datetime import timedelta, datetime, timezone
from jose import jwt
from jose.exceptions import JWTError
from pydantic import BaseModel
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

# 签名部分的秘钥
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
# jwt header部分的算法
ALGORITHM = "HS256"
# 有效期
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# tokenUrl这个参数用来指定进行Oauth2认证接口地址,这里用的是相对路径
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")


class Token(BaseModel):
    # 返回token信息的模型
    access_token: str
    token_type: str


class TokenData(BaseModel):
    # token,payload部分的模型
    username: str | None = None


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    """创建token"""
    # token payload额外信息
    to_encode = data.copy()
    """
    expires_delta:这个字段来表示token的过期时间
    如果传入expires_delta,就使用,否则默认15分钟"""
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    # 生成token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    """解析token,并且校验用户是否存在"""
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解析token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        # 从sub字段获取username
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user

登录接口认证

@app.post("/login")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    print(user)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user["login_name"]}, expires_delta=access_token_expires
    )
    return Token(access_token=access_token, token_type="bearer")


@app.get("/users/me/")
async def read_users_me(user=Depends(get_current_user)):
    return user

完整代码

from fastapi import FastAPI, Depends, HTTPException, status
from passlib.context import CryptContext
from datetime import timedelta, datetime, timezone
from jose import jwt
from jose.exceptions import JWTError
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel

app = FastAPI()

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


def verify_password(plain_password, hashed_password):
    """校验密码哈希"""
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    """生成密码哈希"""
    return pwd_context.hash(password)


# 数据库用户表
fake_users_db = {
    # 用户记录
    "kael": {
        "login_name": "kael",
        "hashed_password": get_password_hash("111111")
    }}


def get_user(db, username: str):
    # 这个方法实际效果应该是从数据库获取对应的用户,db应该是一个数据库操作句柄,username是登录接口传的登录名
    if username in db:
        user_dict = db[username]
        return user_dict


# 签名部分的秘钥
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
# jwt header部分的算法
ALGORITHM = "HS256"
# 有效期
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# tokenUrl这个参数用来指定进行Oauth2认证接口地址,这里用的是相对路径
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")


def authenticate_user(db, username: str, password: str):
    """验证用户"""
    # 判断用户是否存在
    user = get_user(db, username)
    if not user:
        return False
    # 用户密码哈希是否正确
    if not verify_password(password, user["hashed_password"]):
        return False
    return user


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str | None = None


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    # token payload额外信息
    to_encode = data.copy()
    """
    expires_delta:这个字段来表示token的过期时间
    如果传入expires_delta,就使用,否则默认15分钟"""
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    # 生成token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解析token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        # 从sub字段获取username
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


@app.post("/login")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    print(user)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user["login_name"]}, expires_delta=access_token_expires
    )
    return Token(access_token=access_token, token_type="bearer")


@app.get("/users/me/")
async def read_users_me(user=Depends(get_current_user)):
    return user

 

 

 未认证请求users/me会提示未认证

认证成功再次请求users/me会返回用户数据

梦忆安凉
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
FastAPI JWT身份验证 说明文件: 源代码: 特征 提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_face: 访问令牌和刷新令牌 新鲜代币 吊销代币 支持WebSocket授权 支持将自定义声明添加到JSON Web令牌令牌存储在Cookie和CSRF保护中 安装 通过pip开始使用此扩展程序的最简单方法 pip install fastapi-jwt-auth 如果要使用非对称(公共/专用)密钥签名算法,请包括非对称额外要求。 pip install ' fastapi-jwt-auth[asymmetric] ' 执照 该项目根据MIT许可条款获得许可。
Fastapi框架】Fastapi的使用和进阶
黎明总是如期而至
12-13 2829
1.已有中间件HTTPSRedirectMiddleware是fasapi自带的中间件2.自定义中间件。
python项目,登录生成token,后面所有接口验证token,如果是fastapi搭建的项目应该怎么实现
最新发布
keyboard专栏
05-28 564
在这个示例中,我们使用了 FastAPI 提供的 OAuth2PasswordBearer 来处理 Token 的验证。用户登录时会提供用户名和密码,服务器会验证密码的正确性,如果验证通过,则生成 Token 并返回给用户。用户在后续请求需要验证的接口时,需要在请求的 Header 中带上 Token,服务器会解析 Token 并验证其有效性。在使用 FastAPI 框架搭建的 Python 项目中,实现登录生成 Token 并进行后续接口验证 Token 的功能相对比较简单。
FastAPI实现JWT验证
唐浩专栏
08-12 2317
fastapi是一个异步编程框架,有非常不错的性能,本文介绍如何在 fastapi实现jwt验证功能 1. 添加依赖 pipenv install pyjwt 'passlib[bcrypt]' 2. 编写一个handle处理jwt所需功能 app/auth.py import jwt from fastapi import HTTPException, Security from fastapi.security import HTTPAuthorizationCredentials,
【大模型应用开发-FastAPI框架】(十) Fastapi使用JWT实现鉴权
04-15 1098
随着Web应用程序的发展,用户身份验证和授权成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授权功能。FastAPI是一个基于Python的现代Web框架,它提供了简单易用的功能来处理身份验证和授权。本文将介绍如何在fastapi中使用jwt令牌进行身份验证和授权。随着Web应用程序的发展,用户身份验证和授权成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授权功能。FastAPI是一个基于Python的现代Web
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
本篇文章将深入探讨如何使用Spring Boot 2实现OAuth2 JWT资源服务器,通过在令牌和自定义主体中添加自定义详细信息,提升系统的安全性与灵活性。 OAuth2是一种授权框架,它允许第三方应用以用户代理的身份访问特定...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
在本文中,我们将深入探讨如何使用Spring Boot、OAuth2和JWT(JSON Web Token)来创建一个安全的身份验证和授权系统。这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将...
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相关联的,并且可以具有与之相关联的许多,这些最后...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
fastapi配合tortoise-orm实现jwt以及rbac的教程
2201_75632987的博客
02-13 1779
使用fastapi搭建后端服务器应用,并使用tortoise-orm操作数据库,项目内容是实现jwt登录和权限校验,提供构建一个fastapi应用的基本思路登录接口:接收前端应用发来的表单请求并返回jwt-token权限校验:通过依赖注入的方式校验每条请求用户携带的token,以及用户所拥有的权限范围(scope)
FastAPI登录实现JWT
Joker-desire的博客
11-05 7595
FastAPIJWT JWT(JSON Web Tokens) 一、依赖库安装 jwt pip install jwt==1.2.0 python-jose 用于生成和检验JWT令牌 pip install python-jose==3.2.0 passlib 用于处理哈希密码的包 支持许多安全哈希算法以及配合算法使用的实用程序 推荐的算法是 Bcrypt pip install passlib[Bcrypt]==1.7.4 二、哈希并校验密码 1、创建对象,进行哈希和校验密码 from p
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 4583
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
fastapi登录认证机制
Mr_LiMing7758的博客
07-24 709
fastapi登录认证机制
Python Web之FastAPI框架实战训练营:老程序员手把手带您
03-08
课程大纲:一、开始之前的准备1.Web应用程序概述2 Fast API框架介绍3.环境搭建二、第一个Fast API程序4.第一个Fast API程序5.HTTP请求方法请求资源关系6.路由三、路径参数、查询参数、请求体7.路径参数8.带类型的路径参数9.示例1:通过图书编号查找图书信息10.查询参数11.请求体12.请求体+路径参数13.请求体+路径参数+查询参数四、使用模板14.使用模板15.访问静态文件五、使用表单16.表单数据六、请求与响应17.Request请求对象18.Response响应对象19.响应模型七、用户数据与安全20.使用Cookie21.使用Session22.JWT身份验证23.CORS(跨域资源共享)八、基于SQLite的『用户管理』项目实战训练24.使用SQLite数据库25.示例2:用户管理:访问数据库层实现26.示例3:用户管理:前端与API实现九、基于SQLAlchemy ORM框架实现的『用户管理』项目实战训练27.使用SQLAlchemy框架25.示例2:用户管理:访问数据库层实现26.示例3:用户管理:前端与API实现27.使用SQLAlchemy框架28.示例4:SQLAlchemy实现用户管理数据访问层29.示例5:用户管理:前端与API实现知识图片:课程优势纲:课程内容紧跟企业一线开发讲解采用:理解+实践课件采用思维导图课件详细代码完整提供开源软件答疑服务
17.FastAPIOAuth2的密码模式
m0_49501453的博客
01-03 3860
17.FastAPIOAuth2的密码模式 用户请求验证原理 说明 用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式和 FastAPI
fastapi jwt 部分
wisdom_lp的博客
08-02 332
fastapi jwt 部分
【11.0】FastapiOAuth2.0的授权模式
Chimengmeng的博客
10-01 502
【一】OAuth2.0的授权模式 授权码授权模式(Authorization Code Grant) 隐式授权模式(Implicit Grant) 密码授权模式(Resource Owner Password Credentials Grant) 客户端凭证授权模式(Client Credentials Grant) 【二】密码授权模式 【1】FastAPIOAuth...
Python Fastapi+Vue+JWT实现注册、登录、状态续签【登录保持】
什么都干的派森
11-11 1096
登录路由方法 server_router/admin.py。根路由方法 server_main.py。
springboot oauth2实现 登录后生成 bearer oken令牌
04-30
Spring Boot OAuth2实现登录后生成Bearer Token令牌是一个流程。OAuth2是一种授权框架,它通过对客户端进行授权和委派来管理对资源的访问。Bearer Token是OAuth2中的一种令牌类型,它用于授权访问受保护的资源。 实现该流程需要进行以下步骤: 1.在Spring Boot项目中添加Spring Security OAuth2依赖。 2.配置应用程序的OAuth2客户端和资源服务器。 3.创建一个控制器来处理登录,并从服务提供者获取访问令牌。 4.使用访问令牌在资源服务器上进行受保护的资源访问。 实现过程: 1.在pom.xml文件中添加Spring Security OAuth2依赖。 2.在application.yml或application.properties中配置OAuth2客户端和资源服务器。 3.使用登录页面处理控制器并从服务提供者获取访问令牌。 4.使用访问令牌访问受保护的资源,例如通过REST API访问客户端。 在此过程中生成的Bearer Token令牌,是由服务提供者提供的授权令牌Bearer Token是OAuth2授权令牌的一种类型,它可用于访问受保护资源。 总而言之,Spring Boot OAuth2实现登录后生成Bearer Token令牌的过程需要进行多项配置和代码实现,在掌握相关技术方面后可以进行相应的实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值