fastapi_No.13_安全性

最新推荐文章于 2024-05-26 08:50:19 发布
最新推荐文章于 2024-05-26 08:50:19 发布
阅读量644 收藏 2
点赞数 1
分类专栏: # FastAPI 文章标签: fastapi python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38766791/article/details/127434685
版权

目录

几个概念

OAuth2

OAuth2是一个规范,它定义了几种处理身份认证和授权的方法。
它是一个相当广泛的规范,涵盖了一些复杂的使用场景。
它包括了使用第三方进行身份认证的方法。
详细介绍见OAuth2官网

OpenID Connect

OpenID Connect是另一个基于OAuth2的规范。
它只是扩展了OAuth2,并明确了一些在OAuth2中相对模糊的内容,以尝试使其更具操作性。
详细介绍见OpenID Connect官网

OpenAPI

fastapi基于OpenAPI。
OpenAPI有一种定义多个安全方案的方法。
通过它们,可以利用所有这些基于标准的工具,包括这些交互式文档系统。
详细介绍见OpenAPI官网
OpenAPI定义了以下安全方案:

  • apikey:一个特定于应用程序的密钥,可以来自:
    • 查询参数
    • 请求头
    • cookie
  • http:标准的HTTP身份认证系统,包括:
    • bearer:一个值为Bearer加令牌字符串的Authorization请求头。这是从OAuth2继承的。
    • HTTP Basic认证方式
    • HTTP Digest,等等
  • oauth2:所有的OAuth2处理安全性的方式。
  • openIdConnect:提供了一种定义如何自动发现OAuth2身份认证数据的方法。

安全的流程

在这里插入图片描述

代码实现

首次登录

步骤1:验证用户名和密码是否正确
步骤2:验证通过后生成token,返回客户端

# 第一步:指定创建token的路径,通常和登录为同一个路径
# OAuth2PasswordBearer被调用时会去获取header中是否有Authorization的值
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/login")

# 第二步:创建token路径的路径装饰器和路径操作函数
@app.post("/login")
# 在创建token中以OAuth2PasswordRequestForm为依赖,作为请求体
# OAuth2PasswordRequestForm默认接收username和password的form数据
async def login(form_data:OAuth2PasswordRequestForm=Depends()):
    # 根据用户名首先判断该用户名在数据库中是否存在,如果不存就报错
    user_dict = fake_users_db.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400,detail="Incorrect username")
    # 然后获取该用户名在数据库中的加密后的密码
    user = UserInDB(**user_dict)
    # 根据后端固定的加密规则对输入的用户密码进行加密,
    # 然后对比本次输入的加密密码和数据库中存储的加密密码是否一致,不一致报错
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=400,detail="Incorrect pwd")
    # 用户名和密码都验证通过后,生成token返回前端
    # 通常有一个方法来生成token,此处为了简单,直接用username作为token返回前端
    # token_type指定token的类型,是OAuth2协议的规定
    return {
        "access_token":user.username,
        "token_type":"bearer"
    }

再次登录

步骤1:验证token
步骤2:验证通过后,进行响应

# 第三步:在后面的请求中,首先都要进行安全性验证
# 即通过token来验证用户信息

# 定义根据用户名在数据库中获取用户信息
def get_user(db,username:str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 定义解密token的方法
def fake_decode_token(token):
    user = get_user(fake_users_db,token)
    return user

# 定义获取当前用户的方法
# 依赖oauth2_scheme去获取请求头中是否有Authorization,其对应的值应该是token
async def get_current_user(token:str = Depends(oauth2_scheme)):
    # 解析token
    user = fake_decode_token(token)
    # 用户不存在时报错
    if not user:
        raise HTTPException(
            status_code=401,
            detail="Invalid authentication credentials",
            # 此处的headers回复时OAuth2的规定
            headers={"WWW-Authenticate": "Bearer"}
            )
    return user

# 模拟再次请求
@app.get("/users/me")
# 依赖验证token的方法进行二次请求,满足验证时响应,否则报错
async def read_users_me(current_user:User=Depends(get_current_user)):
    return current_user

完整代码:

from fastapi import FastAPI,Depends,HTTPException,status
# OAuth2PasswordBearer用来指定生成token的路径
# OAuth2PasswordRequestForm用来指定生成token操作函数的输入
from fastapi.security import OAuth2PasswordBearer,OAuth2PasswordRequestForm
from pydantic import BaseModel
from typing import Union

# fake_users_db用来模拟数据库中存储的用户信息
fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

# 用户数据模型
class User(BaseModel):
    username: str
    email: Union[str, None] = None
    full_name: Union[str, None] = None
    disabled: Union[bool, None] = None

# 用户在数据库中的数据模型
class UserInDB(User):
    hashed_password: str

# 用来加密密码
def fake_hash_password(password: str):
    return "fakehashed" + password

app = FastAPI()

# 第一步:指定创建token的路径,通常和登录为同一个路径
# OAuth2PasswordBearer被调用时会去获取header中是否有Authorization的值
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/login")

# 第二步:创建token路径的路径装饰器和路径操作函数
@app.post("/login")
# 在创建token中以OAuth2PasswordRequestForm为依赖,作为请求体
# OAuth2PasswordRequestForm默认接收username和password的form数据
async def login(form_data:OAuth2PasswordRequestForm=Depends()):
    # 根据用户名首先判断该用户名在数据库中是否存在,如果不存就报错
    user_dict = fake_users_db.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400,detail="Incorrect username")
    # 然后获取该用户名在数据库中的加密后的密码
    user = UserInDB(**user_dict)
    # 根据后端固定的加密规则对输入的用户密码进行加密,
    # 然后对比本次输入的加密密码和数据库中存储的加密密码是否一致,不一致报错
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=400,detail="Incorrect pwd")
    # 用户名和密码都验证通过后,生成token返回前端
    # 通常有一个方法来生成token,此处为了简单,直接用username作为token返回前端
    # token_type指定token的类型,是OAuth2协议的规定
    return {
        "access_token":user.username,
        "token_type":"bearer"
    }

# 第三步:在后面的请求中,首先都要进行安全性验证
# 即通过token来验证用户信息

# 定义根据用户名在数据库中获取用户信息
def get_user(db,username:str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 定义解密token的方法
def fake_decode_token(token):
    user = get_user(fake_users_db,token)
    return user

# 定义获取当前用户的方法
# 依赖oauth2_scheme去获取请求头中是否有Authorization,其对应的值应该是token
async def get_current_user(token:str = Depends(oauth2_scheme)):
    # 解析token
    user = fake_decode_token(token)
    # 用户不存在时报错
    if not user:
        raise HTTPException(
            status_code=401,
            detail="Invalid authentication credentials",
            # 此处的headers回复时OAuth2的规定
            headers={"WWW-Authenticate": "Bearer"}
            )
    return user

# 模拟再次请求
@app.get("/users/me")
# 依赖验证token的方法进行二次请求,满足验证时响应,否则报错
async def read_users_me(current_user:User=Depends(get_current_user)):
    return current_user

if __name__ == "__main__":
    import uvicorn
    uvicorn.run(app="main:app",host="127.0.0.1",port=8080,reload=True)

测试结果:

首次登录:获取token
在这里插入图片描述
访问其他页面:发送token
token中加入Bearer是由token_type决定的。
在这里插入图片描述

JWT生成token

安装 python-jose[cryptography],生成jwt token
安装passlib[bcrypt]用来处理哈希密码
完整代码:

from datetime import datetime, timedelta
from typing import Union
from fastapi import FastAPI,Depends,HTTPException,status
from fastapi.security import OAuth2PasswordBearer,OAuth2PasswordRequestForm
from jose import JWTError,jwt
from passlib.context import CryptContext
from pydantic import BaseModel

# 模拟数据库中的用户记录
fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
}

# 定义token的回复数据模型
class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: Union[str, None] = None

# 定义用户回复数据模型
class User(BaseModel):
    username: str
    email: Union[str, None] = None
    full_name: Union[str, None] = None
    disabled: Union[bool, None] = None

# 定义数据库中用户数据模型
class UserInDB(User):
    hashed_password: str


# to get a string like this run:
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# 加密模式,用来加密和验证密码
pwd_context = CryptContext(schemes=['bcrypt'],deprecated="auto")

# 加密密码
def get_password_hash(password):
    return pwd_context.hash(password)

# 验证密码
def verify_password(plain_password,hashed_password):
    return pwd_context.verify(plain_password,hashed_password)

# 根据用户名在数据库中获取用户信息
def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 验证用户名和密码
def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user

# 创建token
def create_access_token(data: dict, expires_delta: Union[timedelta, None] = None):
    to_encode = data.copy()
    # 追加过期时间
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    # 注意此处的to_encode中的键,解token后也通过这些键来取值!
    # 利用密钥和加密算法生成token
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt

# 定义token创建和获取方法
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/login")

app = FastAPI()

# 首次登录
@app.post("/login", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}

# 获取当前用户
async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解token
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user

# 验证用户是否处于激活状态
async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user

# 再次访问
@app.get("/users/me/", response_model=User)
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

@app.get("/users/me/items/")
async def read_own_items(current_user: User = Depends(get_current_active_user)):
    return [{"item_id": "Foo", "owner": current_user.username}]

if __name__ == "__main__":
    import uvicorn
    uvicorn.run(app="produce:app",host="127.0.0.1",port=8080,reload=True)

验证结果:
首次登录返回获得token
在这里插入图片描述
再次访问利用token访问
在这里插入图片描述

爱学习_程序员
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
fastapi-Headers和Cookies
奔跑的豆子的专栏
11-05 566
FastAPI中,Headers是一个特殊的类型,用于处理HTTP请求头(HeadersHeaders允许你接收、访问和修改HTTP请求中的头部信息。使用Headers,你可以在FastAPI的路由视图中将请求头作为参数接收,并对它们进行操作。
深入了解 FastAPI 鉴权:掌握前后端身份验证的最佳实践
09-13 1605
如果需要更高度定制的鉴权逻辑,可以编写自定义的鉴权中间件。这允许你完全控制鉴权过程,并在每个请求之前进行处理。FastAPI 提供了多种灵活的鉴权方法,使你能够选择最适合你的应用程序需求的方式。从基本 HTTP 认证到 OAuth2.0 和自定义鉴权中间件,FastAPI 为构建安全的 Web 应用程序提供了强大的工具和支持。
4. fastApi请求体详解
Jesse_Kyrie的博客
02-21 3374
fastApi请求体数据处理详解
FastAPI完全指南:实现高效、安全的Web开发
最新发布
Innocence_0的博客
05-26 781
在快速发展的互联网时代,高效的Web开发变得尤为重要。Python作为一门广受欢迎的编程语言,其众多Web框架中,FastAPI凭借其出色的性能和易用性,成为了一个炙手可热的选择。FastAPI是一个用于构建API的现代、高性能的Web框架,它基于Python3.6+的类型提示,提供了快速、直观且易于学习的API开发体验。响应类型FastAPI允许你定义多种响应类型,包括JSON、HTML、纯文本等。return “文档定制FastAPI允许你自定义这些文档的一些方面,如标题、描述和版本号。
fastapi权限控制
小生测试的博客
08-26 1231
不过fastapi 的权限控制,他要在请求头header上"Authorization":“Bearer 你的token”.OAuth2PasswordBearer会自动解析请求头这个参数的内容,解析不到就报权限失败。将get_current_user参数换成request: Request,这样就能控制我们只传入token就好了。这个用法是写死固定的。使用fastapi原生自带的AUTH_SCHEMA 作为权限控制。所以我们就放弃原生的fastapi权限设置,用自己的权限控制。
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 4450
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
fastapi 用户权限,登录,退出登录组件
热门推荐
Defiler_Lee的博客
06-28 1万+
将在前面的话 fastapi默认的组件,官网上其实也有,关于权限什么的,在这里 FastAPI 安全性简介 但是我在学习过程中,发现他官方提供的默认组件,有以下缺陷: 用户名,过期时间等关键信息,存储在客户端,并且使用默认的jwt,基本没有加密存在安全隐患 默认组件并不会刷新用户验证信息的过期时间,每次登录会话持续的时间是固定的,而不是随着用户的访问,刷新持续时间。 提供的功能并不完善,如果加入不同的权限,其实还是有很多工作量。 默认将授权码,放在了requests headers里,很多时候其实不太方便
test_alipay.rar
01-10
Django是一个流行的Python web框架,以其高效、可扩展和安全著称,非常适合构建复杂的Web应用程序,包括电商、支付等需要处理金融交易的场景。 首先,我们需要安装必要的库。Django的支付宝集成通常会用到`django-...
zfb.zip_c# 支付宝_floatingtrz_zfb8899.com_支付宝_支付宝调用c#
09-23
参数需要按照特定的规则进行排序和签名,签名算法通常是RSA或者RSA2,以确保数据的安全性。 例如,对于发起支付的请求,我们可能会使用`Alipay_trade_precreate` API,需要设置如下的参数: - `out_trade_no`: 商户...
Python库 | pydantic-1.6.1-cp36-cp36m-manylinux1_i686.whl
02-18
7. **与FastAPI集成**:FastAPI是一个现代、高性能的Web框架,Pydantic是其默认的数据验证库,两者结合可以轻松构建API服务。 安装`pydantic-1.6.1-cp36-cp36m-manylinux1_i686.whl`的方法是通过Python的`pip`工具...
新版Android开发教程.rar
12-14
的 Android SDK 提供了在 Android 平台上使用 JaVa 语言进行 Android 应用开发必须的工具和 API 接口。 特性 • 应用程序框架 支持组件的重用与替换 • Dalvik Dalvik Dalvik Dalvik 虚拟机 专为移动设备优化 • ...
陶靖昊Microsoft Word 文档.docx
10-27
1. 下载代码:从ZJU-FAST-Lab/Fast-Drone-250项目中获取代码,使用VSCode打开并进行分析。 2. 学习代码结构: - planner包含导航、建图和避障相关代码。 - realflight modules是针对真实飞行的代码。 - ...
FastAPI token认证踩坑----swagger 接口测试没有token
浪荡的三木君
06-08 3376
FastAPI的SwaggerUI在API调用中authorization:Bearer undefined 错误原因: 是我自定义了返回的数据结构,没有access_token,token_type这两个关键字 解决办法: FastAPI的SwaggerUI在API调用中包含您的令牌,请确保您的/token端点在响应中包含2个必需的关键字。 access_token:这应该是您的令牌值 token_type:此值应为 Bearer 所以您的返回应该是这样的, { access_token: 'ey
FastAPI(58)- 使用 OAuth2PasswordBearer 的简单栗子
qq_33801641的博客
10-07 1745
背景 假设在某个域中拥有后端 API(127.0.0.1:8080) 并且在另一个域或同一域的不同路径(或移动应用程序)中有一个前端(127.0.0.1:8081) 并且希望有一种方法让前端使用用户名和密码与后端进行身份验证 可以使用 OAuth2 通过 FastAPI 来构建它,通过FastAPI 提供的工具来处理安全性 OAuth2 的授权模式 授权码授权模式 Authorizati...
一个简单的FastAPI认证示例
xinhuoip的博客
03-10 907
以上代码中,我们使用了Passlib库来创建密码哈希上下文,并使用JWT库来创建和解析访问令牌。我们定义了一个简单的用户模型和一个假的数据库来存储用户信息。在登录时,我们会验证用户名和密码,并创建一个访问令牌,该令牌将在指定的时间后过期。在需要认证的路由中,我们使用Depends装饰器来指定OAuth2密码模式,并在访问令牌验证通过后返回受保护的响应。
Fastapi系列-同步和异步相互转换处理实践
Web_boom的博客
05-27 4626
前言 我们知道Fastapi本身是一个混搭的框架,它既可以使用同步的方式也可以使用的异步的方式来运行我们的服务。 同步的方式主要是使用多线程的方式来实现并发 异步的方式则主要是基于协程的方式来实现并发 混搭的框架中主要遇到的问题点有: 在同步函数里面如果有涉及到调用异步的函数(或协程对象的) 在异步的函数里如果遇到的同步的代码(耗时的会引发阻塞的或部分的库不支持异步协程的) 以上两种场景情况都需要我们进行处理转化。 基础知识点 1 转换的说明 不管是从同步到异步,还是异步到同步,他们涉及的问题相对复
FastAPI用户安全性解决方案
白发空垂三千丈
11-18 5472
1.需求分析 用户登录验证 用户登录保持 2.实现思路 用户登录和令牌发放 用户发送用户名和密码到服务器。 服务器检查从数据库中查找用户名和密码哈希值(服务器不保存密码,只保存密码的哈希值)。 计算密码哈希值,与服务器中数据一致则进入下一步。 生成令牌,令牌内容包括用户名和失效日期,还可以包含其他信息,加密成一段字符串,即Token。 服务器将加密后的令牌(Token)返回到前端。 前端脚本将令牌保存到LocalStorage。 用户登录状态保持 前端每次向服务器发送请求,都把令牌放在请求头中。
FastAPI 中的 OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 790
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
Python FastAPI框架实现一个基本的用户登录接口,并添加权限功能
weixin_45319250的博客
03-22 3061
Python FastAPI框架实现一个基本的用户登录接口,并添加权限功能
.fastapi_app
05-15
.fastapi_app是一个FastAPI应用程序对象,用于创建FastAPI应用程序实例。在这个对象上,我们可以通过添加路由和中间件来创建Web应用程序。以下是一个简单的例子,展示如何用.fastapi_app创建一个应用程序对象并添加路由: ```python from fastapi import FastAPI app = FastAPI() @app.get("/") async def root(): return {"message": "Hello World"} ``` 在上面的例子中,我们创建了一个FastAPI应用程序对象app,并为其添加了一个根路由。在这个路由中,我们使用HTTP GET请求方法定义了一个异步函数,并返回一个JSON响应。当我们使用浏览器或其他HTTP客户端向服务器的根路径发出请求时,该函数将被调用并返回JSON响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱学习_程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值