26.FastAPI安全性

最新推荐文章于 2025-02-15 13:11:38 发布
最新推荐文章于 2025-02-15 13:11:38 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: Python FastAPI 文章标签: python web 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhaiy/article/details/122831990
版权
本文介绍了如何使用FastAPI的安全工具OAuth2PasswordBearer和OAuth2PasswordRequestForm实现OAuth2的密码授权模式,以及如何结合Passlib进行密码哈希验证。接着,展示了如何使用JWT生成和验证令牌,确保用户访问的安全性。此外,还提供了一个获取当前用户信息的例子,以及如何设计鉴权微服务的思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

26.FastAPI安全性

软件开发中,安全是永恒的话题,FastAPI作为一个优秀的Python Web开发框架,为用户提供了多种工具,帮助用户以标准的方式轻松快速地解决软件开发中的安全性。

FastAPI 的 fastapi.security 模块中为各种安全方案提供了一些工具,这些工具简化了这些安全机制的使用方法。

26.1 OAuth2PasswordBearer

FastAPI提供的OAuth2PasswordBearer是使用 OAuth2的密码授权模式的Bearer Token(不记名 token) 。创建OAuth2PasswordBearer 实例需要接收URL作为参数。

客户端会向该 URL 通过表单的格式发送 username 和 password 参数,然后得到一个 token 值;OAuth2PasswordBearer 并不会创建相应的 URL 路径操作,只是指明了客户端用来获取 token 的目标 URL。

代码示例:

# coding: utf-8
from fastapi import FastAPI
from fastapi import Depends
from fastapi.security import OAuth2PasswordBearer
​
app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
​
@app.get(path='/')
async def root(token: str = Depends(oauth2_scheme)):
    return "Hello world"

在上面的代码中, tokenUrl="token"指的token是相对 URL 。

此时访问,其返回结果:

curl http://127.0.0.1:8000 -i
HTTP/1.1 401 Unauthorized
date: Tue, 08 Feb 2022 09:28:05 GMT
server: uvicorn
www-authenticate: Bearer
content-length: 30
content-type: application/json
​
{"detail":"Not authenticated"}

上面的结果表明:访问的内容以及被保护,必须经过授权后才可以访问。

26.2 OAuth2PasswordRequestForm

OAuth2PasswordRequestForm是一个用于获取用户和密码的请求表单类, OAuth2规定客户端必须将username和password字段作为表单数据发送,不可使用 JSON 。OAuth2PasswordRequestForm声明的请求表单:

  • username

  • password

  • 可选scope字段,是一个由空格分隔的字符串组成的大字符串

  • 可选的grant_type字段

  • 可选的client_id字段

  • 可选的 client_secret字段

当获取到表单数据后,需要进行密码校验,一般情况下,我们都会考虑使用哈希密码,PassLib 是一个用于处理哈希密码的非常好的 Python 包,它支持许多安全哈希算法以及配合算法使用的实用程序。

pip install passlib

具体passlib的使用方法可以查看其文档Passlib 1.7.4 documentation — Passlib v1.7.4 Documentation

下面的代码示例在上面代码的基础上增加用户登录及Token验证

# coding: utf-8
from fastapi import FastAPI
from fastapi import Depends
from fastapi import HTTPException
from fastapi.security import OAuth2PasswordBearer
from fastapi.security import OAuth2PasswordRequestForm
from passlib.hash import pbkdf2_sha256
​
app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
​
# 用户列表
usrs = [
    {
        'usr_id': 'u000010001',
        'usr_acc': 'abc',
        'usr_pwd': '$pbkdf2-sha256$29000$MTAxMDEwMTg$fUI/40Zxj6.62GHgUX9PbDZ0SybccxZwn3Wl3qJ8U/M', # a1b2c3
        'salt': '10181010'
    },
    {
        'usr_id': 'u000010002',
        'usr_acc': 'xyz',
        'usr_pwd': '$pbkdf2-sha256$29000$MTAxMDEwMTg$Eu7mZV80f.tu4RDXSsst9gDjV4fXJ.9S7t1hgcGMMVk', # x1y2z3
        'salt': '10101018'
    }
]
​
# Token校验
async def verify_token(token: str):
    found = False
    for usr in usrs:
        if usr['usr_id'] == token:
            found = True
            break
    if not found:
        raise HTTPException(status_code=401)
​
​
# 登录并返回Token
@app.post(path='/token')
async def login(form: OAuth2PasswordRequestForm = Depends()):
    foundUsr = None
    for usr in usrs:
        if usr['usr_acc'] == form.username:
            foundUsr = usr
​
    if foundUsr is None or pbkdf2_sha256.hash(form.password, salt=usr['salt'].encode()) != foundUsr['usr_pwd']:
        raise HTTPException(status_code=400, detail="Incorrect username or password")
    else:
        return {"access_token": foundUsr['usr_id'], "token_type": "bearer"}
​
​
@app.get(path='/')
async def root(token: str = Depends(oauth2_scheme)):
    await verify_token(token)
    return "Hello world"

启动应用并执行请求:

测试无效登录:

curl -d "username=xyz&password=x1y2z38" -X POST http://127.0.0.1:8000/token -i
HTTP/1.1 400 Bad Request
date: Tue, 08 Feb 2022 12:16:37 GMT
server: uvicorn
content-length: 43
content-type: application/json
​
{"detail":"Incorrect username or password"}

测试正常登录:

curl -d "username=xyz&password=x1y2z3" -X POST http://127.0.0.1:8000/token -i
HTTP/1.1 200 OK
date: Tue, 08 Feb 2022 12:17:45 GMT
server: uvicorn
content-length: 51
content-type: application/json
​
{"access_token":"u000010002","token_type":"bearer"}

返回token,在Headers中使用token访问:

curl -H "Authorization:Bearer u000010002" http://127.0.0.1:8000 -i
HTTP/1.1 200 OK
date: Tue, 08 Feb 2022 12:19:16 GMT
server: uvicorn
content-length: 13
content-type: application/json
​
"Hello world"

修改token后请求:

curl -H "Authorization:Bearer u000010007" http://127.0.0.1:8000 -i
HTTP/1.1 401 Unauthorized
date: Tue, 08 Feb 2022 12:19:56 GMT
server: uvicorn
content-length: 25
content-type: application/json
​
{"detail":"Unauthorized"}

上面的代码如果去掉 await verify_token(token) 行,则:

curl -H "Authorization:Bearer u000010007" http://127.0.0.1:8000 -i

会得到返回结果,原因是默认情况下,OAuth2PasswordBearer只负责请求头中是否具有Authorization:Bearer,如果有就会执行相应的请求,所以,为了验证Token的正确性,需要每个方法都执行相应的验证代码。

本例只作为例子,在实际开发中不会直接拿用户ID作为Token,为了提高系统的安全性,需要使用 JWT。下面我们就介绍 JWT。

26.3 JWT ( JSON Web Tokens )

JWT是一个将 JSON 对象编码为密集且没有空格的长字符串的标准。 具体学习和了解 JWT,请参考 https://jwt.io

需要提到的主要是 JWT中的sub,JWT 的规范中有一个 sub 键,值为该令牌的主题。使用它并不是必须的,但这是我们放置用户标识的地方,所以一般情况下,我们在sub中存放用户ID, 为了避免 ID 冲突,当为创建 JWT 令牌时,可以在 sub 键的值前加上前缀,例如 username:、userid:等。

在 Python 中生成和校验 JWT 令牌 ,可以使用PyJWT,也可以使用 python-jose 。我们在本例中使用 python-jose 来编写代码。

pip install python-jose

使用:

from jose import jwt

使用 JWT,需要在系统中添加一个SECRET_KEY变量,用于生成令牌,如:

SECRET_KEY='5e9eb66688de11eca78070c94ec87656a649b0cc88de11eca8b470c94ec87656'

以下代码在上面代码的基础上使用 JWT 令牌。

# coding: utf-8
from fastapi import FastAPI
from fastapi import Depends
from fastapi import HTTPException
from fastapi.security import OAuth2PasswordBearer
from fastapi.security import OAuth2PasswordRequestForm
from passlib.hash import pbkdf2_sha256
from datetime import datetime
from datetime import timedelta
from jose import jwt
import json
​
app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
​
SECRET_KEY='5e9eb66688de11eca78070c94ec87656a649b0cc88de11eca8b470c94ec87656'
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_DAYS = 1
​
# 用户列表
usrs = [
    {
        'usr_id': 'u000010001',
        'usr_acc': 'abc',
        'usr_pwd': '$pbkdf2-sha256$29000$MTAxMDEwMTg$fUI/40Zxj6.62GHgUX9PbDZ0SybccxZwn3Wl3qJ8U/M', # a1b2c3
        'salt': '10181010'
    },
    {
        'usr_id': 'u000010002',
        'usr_acc': 'xyz',
        'usr_pwd': '$pbkdf2-sha256$29000$MTAxMDEwMTg$Eu7mZV80f.tu4RDXSsst9gDjV4fXJ.9S7t1hgcGMMVk', # x1y2z3
        'salt': '10101018'
    }
]
​
​
# 生成Token
def build_access_token(usr: dict):
    for_encode = {'sub': json.dumps(usr)}
    expire = datetime.utcnow() + timedelta(days=ACCESS_TOKEN_EXPIRE_DAYS)
    for_encode.update({"exp": expire})
    jwt_code = jwt.encode(for_encode, SECRET_KEY, algorithm=ALGORITHM)
    return jwt_code
​
​
# Token校验
def verify_token(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        print(payload)
    except Exception as ex:
        print(str(ex))
        raise HTTPException(status_code=401)
​
​
# 登录并返回Token
@app.post(path='/token')
async def login(form: OAuth2PasswordRequestForm = Depends()):
    foundUsr = None
    for usr in usrs:
        if usr['usr_acc'] == form.username:
            foundUsr = usr
​
    if foundUsr is None or pbkdf2_sha256.hash(form.password, salt=usr['salt'].encode()) != foundUsr['usr_pwd']:
        raise HTTPException(status_code=400, detail="Incorrect username or password")
    else:
        return {"access_token": build_access_token(foundUsr), "token_type": "bearer"}
​
​
@app.get(path='/')
async def root(token: str = Depends(oauth2_scheme)):
    verify_token(token)
    return "Hello world"

与前面的代码差别之处:

1.生成Token的函数:build_access_token

2.校验Token的函数:verify_token

3.登录函数:login

请求测试:

登录:

curl -d "username=abc&password=a1b2c3" -X POST http://127.0.0.1:8000/token
{"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ7XCJ1c3JfaWRcIjogXCJ1MDAwMDEwMDAxXCIsIFwidXNyX2FjY1wiOiBcImFiY1wiLCBcInVzcl9wd2RcIjogXCIkcGJrZGYyLXNoYTI1NiQyOTAwMCRNVEF4TURFd01UZyRmVUkvNDBaeGo2LjYyR0hnVVg5UGJEWjBTeWJjY3had24zV2wzcUo4VS9NXCIsIFwic2FsdFwiOiBcIjEwMTgxMDEwXCJ9IiwiZXhwIjoxNjQ0NDEzMDI5fQ.oer3oMlf3eN-d6RknIY5Yqjq7SRK4IxXE83ldyrVEw0","token_type":"bearer"}

令牌访问:

curl -H "Authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ7XCJ1c3JfaWRcIjogXCJ1MDAwMDEwMDAxXCIsIFwidXNyX2FjY1wiOiBcImFiY1wiLCBcInVzcl9wd2RcIjogXCIkcGJrZGYyLXNoYTI1NiQyOTAwMCRNVEF4TURFd01UZyRmVUkvNDBaeGo2LjYyR0hnVVg5UGJEWjBTeWJjY3had24zV2wzcUo4VS9NXCIsIFwic2FsdFwiOiBcIjEwMTgxMDEwXCJ9IiwiZXhwIjoxNjQ0NDEzMDI5fQ.oer3oMlf3eN-d6RknIY5Yqjq7SRK4IxXE83ldyrVEw0" http://127.0.0.1:8000
"Hello world"

错误的令牌访问:

curl -H "Authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ7XCJ1c3JfaWRcIjogXCJ1MDAwMDEwMDAxXCIsIFwidXNyX2FjY1wiOiBcImFiY1wiLCBcInVzcl9wd2RcIjogXCIkcGJrZGYyLXNoYTI1NiQyOTAwMCRNVEF4TURFd01UZyRmVUkvNDBaeGo2LjYyR0hnVVg5UGJEWjBTeWJjY3had24zV2wzcUo4VS9NXCIsIFwic2FsdFwiOiBcIjEwMTgxMDEwXCJ9IiwiZXhwIjoxNjQ0NDEzMDI5fQ.oer3oMlf3eN-d6RknIY5Yqjq7SRK4IxXE83l" http://127.0.0.1:8000 -i
HTTP/1.1 401 Unauthorized
date: Tue, 08 Feb 2022 13:26:57 GMT
server: uvicorn
content-length: 25
content-type: application/json
​
{"detail":"Unauthorized"}

26.4 获取当前用户

在大部分应用程序中,当用户访问某个接口API的时候,都需要明确访问者的身份,所以在应用程序中需要随时获取当前用户,由于在 JWT 令牌的 sub 字段中已经保存了用户信息,所以获取当前用户只需要对令牌解码即可。

在上面的代码的基础上,增加两个函数,代码如下:

#获取当前用户
def find_current_usr(token: str = Depends(oauth2_scheme)):
    current_usr = None
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        current_usr = json.loads(payload['sub'])
    except Exception as ex:
        print(str(ex))
        raise HTTPException(status_code=401)
    if current_usr is None: raise HTTPException(status_code=401)
    return current_usr
# 获取登录者的信息
@app.get(path='/myinfo')
async def myinfo(current_usr: dict = Depends(find_current_usr)):
    return current_usr

请求测试:

curl -H "Authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ7XCJ1c3JfaWRcIjogXCJ1MDAwMDEwMDAxXCIsIFwidXNyX2FjY1wiOiBcImFiY1wiLCBcInVzcl9wd2RcIjogXCIkcGJrZGYyLXNoYTI1NiQyOTAwMCRNVEF4TURFd01UZyRmVUkvNDBaeGo2LjYyR0hnVVg5UGJEWjBTeWJjY3had24zV2wzcUo4VS9NXCIsIFwic2FsdFwiOiBcIjEwMTgxMDEwXCJ9IiwiZXhwIjoxNjQ0NDEzMDI5fQ.oer3oMlf3eN-d6RknIY5Yqjq7SRK4IxXE83ldyrVEw0" http://127.0.0.1:8000/myinfo
{"usr_id":"u000010001","usr_acc":"abc","usr_pwd":"$pbkdf2-sha256$29000$MTAxMDEwMTg$fUI/40Zxj6.62GHgUX9PbDZ0SybccxZwn3Wl3qJ8U/M","salt":"10181010"}

以上,我们完成了一个简单的安全性示例,FastAPI提供的安全性框架帮助我们节约了很多代码,但在实际开发中,我们常常使用微服务的方式来开发,对于鉴权最好设计独立的微服务进行处理。后面我们会展示一个采用FastAPI开发的鉴权微服务,以便在此基础上进行业务系统的开发。

FastAPI的介绍,特性,及几个常用案例
数据知道的博客
12-30 5万+
. 介绍 FastAPI 是一个用于构建 API 的现代、快速(高性能)的 web 框架,使用 Python 3.6+ 并基于标准的 Python 类型提示。 官方中文文档:https://fastapi.tiangolo.com/zh/ 官方文档: https://fastapi.tiangolo.com 源码: https://github.com/tiangolo/fastapi FastAPI依赖于下面这两大重要的成果: web部分参考:Starlette 数据部分参考:Pydantic fa
fastapi-security:将身份验证和授权实现为FastAPI依赖项
05-02
FastAPI安全 通过依赖关系向您的FastAPI应用程序添加身份验证和授权。 安装 pip install fastapi-security 文献资料 。
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 6034
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
FastAPI】9.使用JWT 完成接口的授权与验证
weixin_41270232的博客
02-15 796
JWT
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁
gitblog_00028的博客
06-18 680
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁 fastapi-securityImplements authentication and authorization as FastAPI dependencies项目地址:https://gitcode.com/gh_mirrors/fa/fastapi-security 在日益复杂且数据敏感的Web开发环境中,...
FastAPI - 安全(Security)4
buyue
05-30 307
【代码】FastAPI - 安全(Security)4。
FastAPI Security实战指南
gitblog_00173的博客
08-26 427
FastAPI Security实战指南 fastapi-securityImplements authentication and authorization as FastAPI dependencies项目地址:https://gitcode.com/gh_mirrors/fa/fastapi-security 项目介绍 FastAPI Security是基于FastAPI框架的一个扩展库...
FastAPI入门
vbgesab的博客
05-24 2453
main.pytodos = ["写博客", "看电影", "玩游戏"]"""处理用户发送过来的 todolist 数据"""在这里我说一下为什么要将状态码设置为302,如果你不设置这个status_code,浏览器发送给后端的请求状态码为307,因为307的状态码是不能从post请求跳转到get请求,原因是post请求如果要跳转到get请求不通用,如果想进行跳转,需要将307更改为302。
fastapi静态资源
05-31
在IT行业中,FastAPI是一个非常受欢迎的Web框架,尤其适合构建高性能的APIs。它以其易用性、高效性和现代的类型提示而受到开发者们的喜爱。在这个“fastapi静态资源”压缩包中,我们可能找到了关于如何在FastAPI...
FastAPI高性能Web框架 v0.110.0.zip
03-21
在这个版本中,FastAPI继续展现其在速度、易用性和开发效率方面的优势,使其成为Python Web开发者的首选之一。 1. **FastAPI的特性** - **基于类型提示的自动文档**:FastAPI利用Python 3.6及更高版本的类型提示,...
基于FastAPI-Users实现用户管理系统的例子
最新发布
03-12
需要注意的是,虽然FastAPI-Users大大简化了用户管理系统的开发,但开发者仍然需要关注安全性问题,如密码存储的安全性、数据传输的加密等。此外,FastAPI-Users的文档通常会提供详细的使用指南和API参考,这对于...
fastapi-security:用FastAPI实施安全策略的正确方法!
04-11
FastAPI安全策略 每个文件夹包含不同的策略,以使用FastAPI验证用户/客户端/应用程序。 所有策略都使用dictionary作为数据库。 我们有:
Python 后端 | FastAPI文档解读 | 安全性
m0_51335239的博客
12-18 1604
FastAPI文档解读
fastapi_No.13_安全性
Ethan's Blog
10-20 918
fastapi中进行安全性验证的流程。利用JWT进行安全性验证
FastAPI 教程翻译 - 用户指南 26 - 安全性
人生苦短,我用Python!
05-28 2199
FastAPI 教程翻译 - 用户指南 26 - 安全性 FastAPI Tutorial - User Guide - Secuity Security Intro 安全性简介 There are many ways to handle security, authentication and authorization. 有许多方法可以处理安全性、身份验证和授权。 And it normally is a complex and “difficult” topic. 这通常是一个复杂而『困难』的话题。
FastAPI Security系列之token认证(进阶篇)
Disany的博客
10-29 8571
我们基于FastAPI Security系列之生成token(基础篇)往下深入,上篇说到如何生成token;本篇主要讲述,用户获取token前,要事先完成用户登录验证,如果验证通过则返回token令牌;并在拿到令牌后,在token有效期内,来愉快的访问其他ap接口数据吧! 完整代码详解 # -*- coding: UTF-8 -*- from datetime import datetime, timedelta import jwt from fastapi import Depends, FastAPI
fastapi_No.21_安全性_目录权限认证
Ethan's Blog
11-05 1583
详细介绍了fastapi中实现路径权限管理的步骤及实施过程
FastAPI Security系列之生成token(基础篇)
Disany的博客
10-29 3413
安装依赖 pip install pyjwt # pip install python-multipart # OAuth2需要通过表单数据来发送信息 pyjwt生成Token细节可参考这篇文章:详解PyJWT生成Token 生成token的代码详解 from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI from fastapi.security
Python——FastAPI
pumpkin84514的博客
08-11 824
FastAPI 是一个强大且高效的框架,适用于构建现代 Web API。它通过类型提示、Pydantic 数据验证和自动生成的文档,极大地提升了开发效率,并支持异步操作、中间件、依赖注入、认证授权等高级特性,非常适合复杂的 Web 应用开发。
fastapi安全性问题
02-20
FastAPI 是一个基于 Python 的现代、快速(高性能)的 Web 框架,它提供了一些内置的安全性功能来保护应用程序免受常见的 Web 攻击。下面是一些 FastAPI安全性问题和相应的解决方案: 1. 跨站脚本攻击(XSS):...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Janeb1018

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值