fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证

已于 2024-03-06 15:36:56 修改
阅读量768 收藏 7
点赞数 10
分类专栏: fastApi 文章标签: python fastapi
于 2024-02-28 15:49:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a54288447/article/details/136293332
版权

JWT

JWT(Json Web Token)是一种可以跨域的认证方案

jwt由三部分构成:

头部header:头部包含算法和token类型

核载payload:这部分用来保存自定义信息

签名signature:使用header和payload以及提供的秘钥,用header指定的算法进行签名

三个部分都是使用base64进行编码,并用.隔开

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

payload部分标准声明

iss: jwt签发者,一般是作者或公司域名

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

OAuth2 

OAuth2 规范要求使用密码流时,必须以表单格式发送username和password,并且这两个字段必须命名为username和password

OAuth2 实现密码哈希与 Bearer JWT 令牌验证

密码哈希需要使用passlib库,并且指定bcrypt算法

pip install passlib[bcrypt]

 jwt生成解析使用python-jose库

pip install python-jose[cryptography]

密码哈希

from passlib.context import CryptContext

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


def verify_password(plain_password, hashed_password):
    """校验密码哈希"""
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    """生成密码哈希"""
    return pwd_context.hash(password)

获取用户

在生成jwt时,会在header部分添加用户信息,认证时,需要先解析jwt,解析成功后还需要判断解析出来的用户信息在数据库是否存在。

# 数据库用户表
fake_users_db = {
    # 用户记录
    "kael": {
        "login_name": "kael",
        "hashed_password": get_password_hash("111111")
    }}


def get_user(db, username: str):
    # 这个方法实际效果应该是从数据库获取对应的用户,db应该是一个数据库操作句柄,username是登录接口传的登录名
    if username in db:
        user_dict = db[username]
        return user_dict  # 这里实际使用可以生成用户模型的实例返回



def authenticate_user(db, username: str, password: str):
    """验证用户"""
    # 判断用户是否存在
    user = get_user(db, username)
    if not user:
        return False
    # 用户密码哈希是否正确
    if not verify_password(password, user["hashed_password"]):
        return False
    return user

假设fake_users_db 是数据库表,kael是一条login_name为kael的用户记录。

jwt生成和解析

from datetime import timedelta, datetime, timezone
from jose import jwt
from jose.exceptions import JWTError
from pydantic import BaseModel
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

# 签名部分的秘钥
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
# jwt header部分的算法
ALGORITHM = "HS256"
# 有效期
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# tokenUrl这个参数用来指定进行Oauth2认证接口地址,这里用的是相对路径
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")


class Token(BaseModel):
    # 返回token信息的模型
    access_token: str
    token_type: str


class TokenData(BaseModel):
    # token,payload部分的模型
    username: str | None = None


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    """创建token"""
    # token payload额外信息
    to_encode = data.copy()
    """
    expires_delta:这个字段来表示token的过期时间
    如果传入expires_delta,就使用,否则默认15分钟"""
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    # 生成token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    """解析token,并且校验用户是否存在"""
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解析token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        # 从sub字段获取username
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user

登录接口认证

@app.post("/login")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    print(user)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user["login_name"]}, expires_delta=access_token_expires
    )
    return Token(access_token=access_token, token_type="bearer")


@app.get("/users/me/")
async def read_users_me(user=Depends(get_current_user)):
    return user

完整代码

from fastapi import FastAPI, Depends, HTTPException, status
from passlib.context import CryptContext
from datetime import timedelta, datetime, timezone
from jose import jwt
from jose.exceptions import JWTError
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel

app = FastAPI()

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


def verify_password(plain_password, hashed_password):
    """校验密码哈希"""
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    """生成密码哈希"""
    return pwd_context.hash(password)


# 数据库用户表
fake_users_db = {
    # 用户记录
    "kael": {
        "login_name": "kael",
        "hashed_password": get_password_hash("111111")
    }}


def get_user(db, username: str):
    # 这个方法实际效果应该是从数据库获取对应的用户,db应该是一个数据库操作句柄,username是登录接口传的登录名
    if username in db:
        user_dict = db[username]
        return user_dict


# 签名部分的秘钥
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
# jwt header部分的算法
ALGORITHM = "HS256"
# 有效期
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# tokenUrl这个参数用来指定进行Oauth2认证接口地址,这里用的是相对路径
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")


def authenticate_user(db, username: str, password: str):
    """验证用户"""
    # 判断用户是否存在
    user = get_user(db, username)
    if not user:
        return False
    # 用户密码哈希是否正确
    if not verify_password(password, user["hashed_password"]):
        return False
    return user


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str | None = None


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    # token payload额外信息
    to_encode = data.copy()
    """
    expires_delta:这个字段来表示token的过期时间
    如果传入expires_delta,就使用,否则默认15分钟"""
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    # 生成token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解析token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        # 从sub字段获取username
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


@app.post("/login")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    print(user)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user["login_name"]}, expires_delta=access_token_expires
    )
    return Token(access_token=access_token, token_type="bearer")


@app.get("/users/me/")
async def read_users_me(user=Depends(get_current_user)):
    return user

 

 

 未认证请求users/me会提示未认证

认证成功再次请求users/me会返回用户数据

梦忆安凉
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastapi mongo_鉴权系统:基于FastAPI的快速OAuth2实现
weixin_39887748的博客
11-30 2758
项目介绍背景本人最近在学习使用FastAPI搭建一些应用的后端框架,FastAPI简单易用,性能强悍,因此使用体验还是较为良好的。其中,官网的Advanced Security里讲到了基于jwtOAuth2认证(FastAPI-OAuth2[1]),由于自身对鉴权系统的不够了解,再加上官网此处的写法十分高级与抽象,因此耗费了大量的时间。现在,基于我的研究,对作者的代码重新整理,降低其耦...
fastapi security oauth2-jwt 加注释代码
nongcunqq的博客
12-03 310
from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from jose import JWTError, jwt from passlib.conte
python项目,登录生成token,后面所有接口验证token,如果是fastapi搭建的项目应该怎么实现
最新发布
keyboard专栏
05-28 559
在这个示例中,我们使用了 FastAPI 提供的 OAuth2PasswordBearer 来处理 Token 的验证。用户登录时会提供用户名和密码,服务器会验证密码的正确性,如果验证通过,则生成 Token 并返回给用户。用户在后续请求需要验证的接口时,需要在请求的 Header 中带上 Token,服务器会解析 Token 并验证其有效性。在使用 FastAPI 框架搭建的 Python 项目中,实现登录生成 Token 并进行后续接口验证 Token 的功能相对比较简单。
FastAPI 中的 OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 854
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
FastAPI 基于OAuth2和JWT的Token认证机制(一)生成token
高压锅博客
06-18 1075
1. OAuth2PasswordBearer OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送username和password参数,然后得到一个token值。 OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户端用来获取token的目标URL。 当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返
FastAPI从入门到实战(15)——OAuth2 密码模式和 FastAPIOAuth2PasswordBearer
tangsiqi130的博客
02-05 255
【代码】FastAPI从入门到实战(15)——OAuth2 密码模式和 FastAPIOAuth2PasswordBearer。
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
本篇文章将深入探讨如何使用Spring Boot 2实现OAuth2 JWT资源服务器,通过在令牌和自定义主体中添加自定义详细信息,提升系统的安全性与灵活性。 OAuth2是一种授权框架,它允许第三方应用以用户代理的身份访问特定...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
在本文中,我们将深入探讨如何使用Spring Boot、OAuth2和JWT(JSON Web Token)来创建一个安全的身份验证和授权系统。这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将...
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相关联的,并且可以具有与之相关联的许多,这些最后...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
FastAPI JWT身份验证 说明文件: 源代码: 特征 提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_face: 访问令牌和刷新令牌 新鲜代币 吊销代币 支持WebSocket授权 支持将自定义声明添加到JSON Web令牌令牌存储在Cookie和CSRF保护中 安装 通过pip开始使用此扩展程序的最简单方法 pip install fastapi-jwt-auth 如果要使用非对称(公共/专用)密钥签名算法,请包括非对称额外要求。 pip install ' fastapi-jwt-auth[asymmetric] ' 执照 该项目根据MIT许可条款获得许可。
fastapi-jwt:带有jwt演示的FastAPI用户身份验证模块
02-15
介绍 FastAPI + JWT + SQLAlchemy + SQLite(或MS SQL Server)演示。 该代码遵循的正式文档。 入门 查看部署在Azure上的自动生成的OpenAPI文档:https:// <APP> .azurewebsites.net / docs 如果是第一次运行该应用程序,则数据库中的users表为空。 为了能够登录和使用该API,您可以向端点发送POST请求:https:// <APP> .azurewebsites.net / auth / users / init(带有空主体)。 这将创建在./configurations.py中定义的默认超级用户。 本地运行 克隆仓库$ git clone https://github.com/juveseason/fastapi-jwt.git 创建虚拟环境并激活$ cd fastapi
fastapi-jwt
02-19
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip install -r requirements.txt 运行应用程序: (venv)$ python main.py 在
pythonFastapi - 安全性-OAuth2中的password流
一名小测试
03-03 1403
简单絮叨一些 前面一篇文章唠了依赖项,今天主要唠下安全性。 更多的就是身份认证或者授权等问题,一听这词就感觉很复杂,fastapi提供了专门处理安全性的工具 安全性 使用密码Bearer 的简单 OAuth2 此处使用的是OAuth2中的password流 password流是 OAuth2 中定义的一种方式(流),用于处理安全和身份验证OAuth2 指在使后端或 API 可以独立于对用户进行身份验证的服务器。 鉴于这个鬼玩意比较生疏,针对代码一段一段且一步一步的唠: fake_u
17.FastAPIOAuth2的密码模式
m0_49501453的博客
01-03 3859
17.FastAPIOAuth2的密码模式 用户请求验证原理 说明 用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式和 FastAPI
【11.0】FastapiOAuth2.0的授权模式
Chimengmeng的博客
10-01 496
【一】OAuth2.0的授权模式 授权码授权模式(Authorization Code Grant) 隐式授权模式(Implicit Grant) 密码授权模式(Resource Owner Password Credentials Grant) 客户端凭证授权模式(Client Credentials Grant) 【二】密码授权模式 【1】FastAPIOAuth...
pythonfastapi OAuth2PasswordBearer 怎么使用
qq_41604569的博客
05-01 1386
FastAPI 中,您可以使用类来定义 OAuth2 密码模式的认证机制。要使用,您需要按照以下步骤进行配置:在您的 FastAPI 应用程序中导入创建一个在上面的代码中,我们创建了一个名为的实例,并将其作为依赖项添加到了函数中。这意味着当您调用函数时,FastAPI 会自动从请求中获取名为的请求头,并使用中定义的认证机制来验证请求头中的令牌(token)是否有效。如果令牌有效,FastAPI 将把令牌作为字符串传递给您的函数。在请求中添加名为的请求头,以便传递令牌。在上面的命令中,我们使用了-H。
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 4560
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
springboot oauth2实现 登录后生成 bearer oken令牌
04-30
Spring Boot OAuth2实现登录后生成Bearer Token令牌是一个流程。OAuth2是一种授权框架,它通过对客户端进行授权和委派来管理对资源的访问。Bearer Token是OAuth2中的一种令牌类型,它用于授权访问受保护的资源。 实现该流程需要进行以下步骤: 1.在Spring Boot项目中添加Spring Security OAuth2依赖。 2.配置应用程序的OAuth2客户端和资源服务器。 3.创建一个控制器来处理登录,并从服务提供者获取访问令牌。 4.使用访问令牌在资源服务器上进行受保护的资源访问。 实现过程: 1.在pom.xml文件中添加Spring Security OAuth2依赖。 2.在application.yml或application.properties中配置OAuth2客户端和资源服务器。 3.使用登录页面处理控制器并从服务提供者获取访问令牌。 4.使用访问令牌访问受保护的资源,例如通过REST API访问客户端。 在此过程中生成的Bearer Token令牌,是由服务提供者提供的授权令牌Bearer Token是OAuth2授权令牌的一种类型,它可用于访问受保护资源。 总而言之,Spring Boot OAuth2实现登录后生成Bearer Token令牌的过程需要进行多项配置和代码实现,在掌握相关技术方面后可以进行相应的实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值