17.FastAPI的OAuth2的密码模式

最新推荐文章于 2024-08-16 08:55:57 发布
最新推荐文章于 2024-08-16 08:55:57 发布
阅读量3.8k 收藏 4
点赞数 2
分类专栏: FastAPI 文章标签: 安全 http FastAPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49501453/article/details/122292001
版权
本文介绍了FastAPI中OAuth2的密码模式和JWT令牌认证的实现过程。用户通过提供用户名和密码获取token,然后使用token访问受保护的资源。示例代码展示了如何处理登录、验证用户、生成和解析JWT token,以及获取当前活跃用户信息的流程。
摘要由CSDN通过智能技术生成

17.FastAPI的OAuth2的密码模式

  • 用户请求验证原理

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BL2l3vzz-1641212540597)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211116212043210.png)]

    • 说明

      用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token,
用户拿着这个token就可以取去使用他想请求的东西了
  • 初识OAuth2的请求原理
    from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
app06 = APIRouter()

"""OAuth2 密码模式和 FastAPI 的 OAuth2PasswordBearer"""

"""
OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送username和password参数,然后得到一个Token值
OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明客户端用来请求Token的URL地址
当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返回401状态码(UNAUTHORIZED)
"""

oauth2_schema = OAuth2PasswordBearer(tokenUrl="/chapter06/token")  # 请求Token的URL地址 http://127.0.0.1:8000/chapter06/token


@app06.get("/oauth2_password_bearer")
async def oauth2_password_bearer(token: str = Depends(oauth2_schema)):
    return {"token": token}
  • Password 和 Bearer token OAuth2的验证示例
    """基于 Password 和 Bearer token 的 OAuth2 认证"""

oauth2_schema = OAuth2PasswordBearer(tokenUrl="/chapter06/token")  # 请求Token的URL地址 http://127.0.0.1:8000/chapter06/token

# 获取token
@app06.get("/oauth2_password_bearer")
async def oauth2_password_bearer(token: str = Depends(oauth2_schema)):
    return {"token": token}

# 假设数据库存储的数据
fake_users_db = {
    "john snow": {
        "username": "john snow",
        "full_name": "John Snow",
        "email": "johnsnow@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

# 数据库密码加密方式
def fake_hash_password(password: str):
    return "fakehashed" + password

# 用户模型类
class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None

# 用户数据存
class UserInDB(User):
    hashed_password: str

# token依赖的接口,需要用户名和密码验证
@app06.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_dict = fake_users_db.get(form_data.username)
    print(user_dict)
    if not user_dict:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password")
    return {"access_token": user.username, "token_type": "bearer"}

# 去数据库获取用户信息
def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 拿着token 去数据库中获取用户信息
def fake_decode_token(token: str):
    user = get_user(fake_users_db, token)
    return user

# 获取当前用户
async def get_current_user(token: str = Depends(oauth2_schema)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication credentials",
            headers={"WWW-Authenticate": "Bearer"},  # OAuth2的规范,如果认证失败,请求头中返回“WWW-Authenticate”
        )
    return user

# 获取当前活跃用户
async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Inactive user")
    return current_user

# 判断是否是活跃用户,如果是活跃用户则正常返回活跃用户的信息,若为非活跃用户,则报异常返回非活跃用户信息
@app06.get("/users/me")
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user
    • 效果演示

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Sh1oupo-1641212540599)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211120170557033.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZUliOmrC-1641212540600)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211120170809743.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xrZPxmIn-1641212540600)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211120171005421.png)]

    • http://localhost:8000/chapter06/oauth2_password_bearer 使用这个接口的查看token

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hluXYEeN-1641212540601)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211120171251089.png)]

    • http://localhost:8000/chapter06/users/me 使用这个接口判断用户是否活跃,若活跃正常返回当前用户的信息,若不活跃则抛出400异常,显示用户为非活跃用户,具体逻辑参考上面的代码。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E7keLa1X-1641212540602)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211120171639090.png)]

  • Password 和hashpassword 以及Bearer with JWT tokens的OAuth2的认证
    • 认证流程图

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MChWWnMC-1641212540602)(17.FastAPI%E7%9A%84OAuth2%E7%9A%84%E5%AF%86%E7%A0%81%E6%A8%A1%E5%BC%8F.assets/image-20211121093818559.png)]

    • 代码示例
    
"""OAuth2 with Password (and hashing), Bearer with JWT tokens 开发基于JSON Web Tokens的认证"""
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jose import JWTError, jwt
from passlib.context import CryptContext
from datetime import datetime, timedelta

# 用户模型类
class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None

# 数据库数据解析,继承自用户模型类,新增密码属性
class UserInDB(User):
    hashed_password: str

fake_users_db = {
    "john snow": {
        "username": "john snow",
        "full_name": "John Snow",
        "email": "johnsnow@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

# 用户数据数据库(模拟数据库),数据库更新,修改哈希密码
fake_users_db.update({
    "john snow": {
        "username": "john snow",
        "full_name": "John Snow",
        "email": "johnsnow@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
})

'''
# 明文密码: secret
from passlib.context import CryptContext
password = 'secret'
context = dict(schemes=['bcrypt'])
cc = CryptContext(**context)
# 用crypt哈希过的密码,存储在数据库内
hashed_password = cc.hash(password)
print(hashed_password)
'''


SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"  # 生成密钥 openssl rand -hex 32

ALGORITHM = "HS256"  # 算法
ACCESS_TOKEN_EXPIRE_MINUTES = 30  # 访问令牌过期分钟

# 返回token的模型类
class Token(BaseModel):
    """返回给用户的Token"""
    access_token: str
    token_type: str

# 加密算法
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# OAuth2的url指向,得到token
oauth2_schema = OAuth2PasswordBearer(tokenUrl="/chapter06/jwt/token")


# plain_password 明文密码,hashed_password哈希密码
def verity_password(plain_password: str, hashed_password: str):
    """对密码进行校验"""
    return pwd_context.verify(plain_password, hashed_password)

# 获取用户
def jwt_get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# jwt 用户认证
def jwt_authenticate_user(db, username: str, password: str):
    user = jwt_get_user(db=db, username=username)
    if not user:
        return False
    # 若用户存在,取出数据库里面的哈希密码,与传入的明文密码进行密码验证。
    if not verity_password(plain_password=password, hashed_password=user.hashed_password):
        return False
    return user

# 创建token   expires_delta过期时间
def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()  # {"sub": user.username}
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    # 添加过期时间,作为加密的的基础数据(用户名,和过期时间)
    to_encode.update({"exp": expire})
    # 加密,用户加密数据和secret 加密
    encoded_jwt = jwt.encode(claims=to_encode, key=SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


@app06.post("/jwt/token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = jwt_authenticate_user(db=fake_users_db, username=form_data.username, password=form_data.password)
    if not user:
        raise HTTPException(
            status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}

# 获取当前用户信息
async def jwt_get_current_user(token: str = Depends(oauth2_schema)):
    credentials_exception = HTTPException(
        status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        # 解密,拿token 和secret 解密 
        payload = jwt.decode(token=token, key=SECRET_KEY, algorithms=[ALGORITHM])
        # 解密取出用户名
        username = payload.get("sub")
        if username is None:
            raise credentials_exception
    except JWTError:
        raise credentials_exception
    user = jwt_get_user(db=fake_users_db, username=username)
    if user is None:
        raise credentials_exception
    return user

# 获取当前活跃用户
async def jwt_get_current_active_user(current_user: User = Depends(jwt_get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Inactive user")
    return current_user

# 接口
@app06.get("/jwt/users/me")
async def jwt_read_users_me(current_user: User = Depends(jwt_get_current_active_user)):
    return current_user
    • 演示略,效果和上面使用密码验证的效果差不多
小帆芽芽
关注
专栏目录
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得数据和权限验证.
FastAPI从入门到实战(15)——OAuth2 密码模式FastAPIOAuth2PasswordBearer
tangsiqi130的博客
02-05 283
【代码】FastAPI从入门到实战(15)——OAuth2 密码模式FastAPIOAuth2PasswordBearer。
FastAPI(58)- 使用 OAuth2PasswordBearer 的简单栗子
qq_33801641的博客
10-07 1828
背景 假设在某个域拥有后端 API(127.0.0.1:8080) 并且在另一个域或同一域的不同路径(或移动应用程序)有一个前端(127.0.0.1:8081) 并且希望有一种方法让前端使用用户名和密码与后端进行身份验证 可以使用 OAuth2 通过 FastAPI 来构建它,通过FastAPI 提供的工具来处理安全OAuth2 的授权模式 授权码授权模式 Authorizati...
FastAPI-Authz 项目教程
最新发布
gitblog_01121的博客
08-16 782
FastAPI-Authz 项目教程 fastapi-authzUse Casbin in FastAPI, Casbin is a powerful and efficient open-source access control library.项目地址:https://gitcode.com/gh_mirrors/fa/fastapi-authz 项目介绍 FastAPI-Authz 是一...
FastAPI OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 1113
FastAPI OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
【Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 5085
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
【python】fastapi OAuth2PasswordBearer 怎么使用
qq_41604569的博客
05-01 1458
FastAPI ,您可以使用类来定义 OAuth2 密码模式的认证机制。要使用,您需要按照以下步骤进行配置:在您的 FastAPI 应用程序导入创建一个在上面的代码,我们创建了一个名为的实例,并将其作为依赖项添加到了函数。这意味着当您调用函数时,FastAPI 会自动从请求获取名为的请求头,并使用定义的认证机制来验证请求头的令牌(token)是否有效。如果令牌有效,FastAPI 将把令牌作为字符串传递给您的函数。在请求添加名为的请求头,以便传递令牌。在上面的命令,我们使用了-H。
【11.0】FastapiOAuth2.0的授权模式
Chimengmeng的博客
10-01 621
【一】OAuth2.0的授权模式 授权码授权模式(Authorization Code Grant) 隐式授权模式(Implicit Grant) 密码授权模式(Resource Owner Password Credentials Grant) 客户端凭证授权模式(Client Credentials Grant) 【二】密码授权模式 【1】FastAPIOAuth...
oauth2密码模式java版
12-12
在"OAuth2密码模式"(Resource Owner Password Credentials Grant),用户直接向授权服务器提供其用户名和密码,授权服务器验证成功后,会向客户端发放访问令牌。这种模式适用于高度信任的场景,例如,当客户端是...
springboot+oltu.oauth2搭建oauth2环境
10-08
springboot和apache的开源项目org.apache.oltu.oauth2组合搭建的oauth2环境,一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
oauth2密码模式分离
08-09
OAuth2的多种授权模式,“密码模式”(Resource Owner Password Credentials Grant)是常见的一种,但这种模式存在一定的安全风险,因为它涉及到客户端直接处理用户的用户名和密码。因此,"oauth2密码模式分离...
AspNet.Security.OAuth.Providers:用于ASP.NET Core的OAuth 2.0社交身份验证提供程序
04-27
AspNet.Security.OAuth.Providers AspNet.Security.OAuth.Providers是安全间件的集合,您可以在ASP.NET Core应用程序使用它来支持 , 或类的社交身份验证提供程序。 它直接受到的倡议。 最新的正式版本可以在上...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
在“Spring Cloud Oauth2的密码模式数据库方式实现登录授权验证”这个主题,我们将深入探讨如何利用OAuth2的密码模式,通过数据库存储用户信息来实现用户的登录授权验证。 首先,OAuth2是一种开放标准,主要用于...
oauth2密码模式mysql模式
08-13
在"OAuth2密码模式"(Resource Owner Password Credentials Grant),用户直接向授权服务器提供其用户名和密码,授权服务器验证成功后,会颁发一个访问令牌(Access Token)给客户端。这种方式适用于高度信任的...
毕设&课程作业_基于FastAPI的快速OAuth2实现.zip
01-24
在本项目,我们关注的是一个基于FastAPIOAuth2快速实现,这是一份适合计算机专业学生进行毕业设计或课程作业的源代码。FastAPI是一个现代、高性能的Web框架,用于构建API,而OAuth2是一种授权协议,常用于保护...
fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证
梦忆安凉的博客
02-28 905
fastApiOAuth2 实现密码哈希与 Bearer JWT 令牌验证
python:Fastapi - 安全性-OAuth2的password流
一名小测试
03-03 1455
简单絮叨一些 前面一篇文章唠了依赖项,今天主要唠下安全性。 更多的就是身份认证或者授权等问题,一听这词就感觉很复杂,fastapi提供了专门处理安全性的工具 安全性 使用密码和 Bearer 的简单 OAuth2 此处使用的是OAuth2的password流 password流是 OAuth2 定义的一种方式(流),用于处理安全和身份验证。 OAuth2 指在使后端或 API 可以独立于对用户进行身份验证的服务器。 鉴于这个鬼玩意比较生疏,针对代码一段一段且一步一步的唠: fake_u
FastAPI 学习之路(二十八)使用密码和 Bearer 的简单 OAuth2
mr~li的博客
08-30 1452
使用密码和 Bearer 的简单 OAuth2
org.apache.oltu.oauth2
05-12
org.apache.oltu.oauth2是Apache基金会旗下的一个开源项目,它提供了OAuth2.0的实现框架和工具,使得开发者可以更加方便地集成OAuth2.0认证授权机制到自己的应用程序OAuth2.0是一种开放标准的授权机制,它允许第三方应用程序通过向授权服务器发起认证请求,获取用户的授权访问某些资源。在OAuth2.0的流程,授权服务器是枢,通过发放access token来授权第三方应用程序的访问权限。 org.apache.oltu.oauth2提供了丰富的API和工具,包括Client、Server、OAuth Resource Server、JAX-RS、OAuth Client Credentials、OpenID Connect、Token、Authz和OIDC等。开发者可以根据自己的需求选择使用其一个或多个模块,来实现OAuth2.0认证授权协议。 该项目的特点包括:易于使用、高度灵活、可扩展性强、处理速度快、支持多种OAuth2.0流程和协议、提供了权威的安全性、保护应用程序免受各种安全漏洞和攻击等。 总之,org.apache.oltu.oauth2是一个很好的开源解决方案,如果你正在开发需要OAuth2.0认证授权的应用程序,那么它绝对是值得考虑的一个优秀框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小帆芽芽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值