FastAPI 学习之路(二十九)使用(哈希)密码和 JWT Bearer 令牌的 OAuth2

已于 2022-08-30 23:26:03 修改
阅读量1k 收藏 8
点赞数 1
分类专栏: fastapi 文章标签: fastapi
于 2022-08-30 23:19:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myli_binbin/article/details/126614882
版权

既然我们已经有了所有的安全流程,就让我们来使用 JWT 令牌和安全哈希密码让应用程序真正地安全。

关于 JWT

       它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准。字符串看起来像这样:

 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它没有被加密,因此任何人都可以从字符串内容中还原数据。

但它经过了签名。因此,当你收到一个由你发出的令牌时,可以校验令牌是否真的由你发出。

通过这种方式,你可以创建一个有效期为 1 周的令牌。然后当用户第二天使用令牌重新访问时,你知道该用户仍然处于登入状态。

一周后令牌将会过期,用户将不会通过认证,必须再次登录才能获得一个新令牌。而且如果用户(或第三方)试图修改令牌以篡改过期时间,你将因为签名不匹配而能够发觉。

我们看下如何实现?

一、安装python-json产生和校验JWT。

pip install python-jose

 二、使用PassLib处理哈希密码

pip install passlib     

还需要安装

bcrypt pip install bcrypt

三、我们看下如何使用,以及思路 

创建一个工具函数以哈希来自用户的密码。

然后创建另一个工具函数,用于校验接收的密码是否与存储的哈希值匹配。

再创建另一个工具函数用于认证并返回用户。

创建用于设定 JWT 令牌签名算法的变量 「ALGORITHM」,并将其设置为 "HS256"。

创建一个设置令牌过期时间的变量。

定义一个将在令牌端点中用于响应的 Pydantic 模型。

创建一个生成新的访问令牌的工具函数。

get_current_user使用的是 JWT 令牌解码,接收到的令牌,对其进行校验,然后返回当前用户。

如果令牌无效,立即返回一个 HTTP 错误。

使用令牌的过期时间创建一个 timedelta 对象。

创建一个真实的 JWT 访问令牌并返回它。

我们最后看下实现代码

from fastapi import FastAPI, Depends, status, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

from pydantic import BaseModel
from typing import Optional
from jose import JWTError, jwt
from datetime import datetime, timedelta
from passlib.context import CryptContext

SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

oauth2_scheme =  OAuth2PasswordBearer(tokenUrl="token")

fake_db_users ={
    "mrli": {
        "username": "mrli",
        "full_name": "mrli_hanjing",
        "email": "mrli@qq.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False
    }
}

app = FastAPI()

def fake_hash_password(password: str):
    """模拟将密码加密"""
    return password


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: Optional[str] = None


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)

def get_password_hash(password):
    return pwd_context.hash(password)

def authenticate_user(db_user, username: str, password: str):
    user = get_user(db_user, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user

def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt

def get_user(db_users, username: str):
    if username in db_users:
        user_dict = db_users[username]
        return UserInDB(**user_dict)

def fake_decode_token(token):
    """我们模拟返回的token值就是username,所以下面可以直接传token"""
    user = get_user(fake_db_users, token)
    return user

def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Authentication Failed",
        headers={"WWW-Authenticate": "Bearer"}
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_db_users, username=token_data.username)
    if not user:
        raise credentials_exception
    return user

def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token", response_model=Token)
def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_db_users, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"}
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {
        "access_token": access_token,
        "token_type": "bearer"
    }

@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


if __name__ == '__main__':
    import uvicorn
    uvicorn.run("main:app", reload=True, debug=True)

我们在Swagger UI上看下效果

当我们实现了Oauth2权限校验后就会出现如上图的Authorize 锁的标志,默认密码是secret,当我们输入用户名密码正确后,会返回用户信息,说明校验成功

我们看下接口/user/me的请求 

 之所以能够正常返回信息是因为我们在请求该接口之前登录了,我们看下该接口的请求头信息,其携带了认证后的token,所以才能正常返回数据:

 如果我们先不登录呢,也就是说不登录就不会有认证头的token信息,那么会怎么样呢?

 校验失败了

 这样就完成了:使用(哈希)密码和 JWT Bearer 令牌的 OAuth2。注意:接口返回的用户不应该返回密码,这个需要在实际中需要屏蔽

一起学python吧
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastapi登录功能
ithongchou的博客
06-27 226
【代码】fastapi登录功能。
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
在本文中,我们将深入探讨如何使用Spring Boot、OAuth2和JWT(JSON Web Token)来创建一个安全的身份验证和授权系统。这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将...
Flask-JWT重刷
黄雄进
12-10 1380
JWT重刷 access_token如果设为一直有效,无法防止用户盗用 access_token有过期时间,如果过期了,让用户重新登录有时候感受不太好 我们需要一个为已登录用户重新刷新access_token的机制 一种方式是将过期时间配置的长一点,配置JWT ACCESS TOKEN过期时间 (默认是15分钟) # JWT ACCESS TOKEN过期时间(单位秒) JWT_ACCESS_TOK...
fastapi学习记录【七】
wangluonanhai的专栏
02-19 1425
fastapi+VUE学习记录
FastAPI 学习之路(二十八)使用密码Bearer 的简单 OAuth2
mr~li的博客
08-30 1365
使用密码Bearer 的简单 OAuth2
OAuth2的access_token和jwt的异同
青青河边草
01-16 6451
https://www.jianshu.com/p/1f0a5fea9d79 相同点: 1) 都能实现访问资源服务的客户端验证, 都不需要session和cookie 2)两种方案都需要SSL安全保护,也就是对要传输的数据进行加密编码。安全地传输用户提供的私密信息,在任何一个安全的系统里都是必要的。否则任何人都可以通过侵入私人wifi,在用户登录的时候窃取用户的用...
FastAPI登录实现(JWT
Joker-desire的博客
11-05 7660
FastAPIJWT JWT(JSON Web Tokens) 一、依赖库安装 jwt pip install jwt==1.2.0 python-jose 用于生成和检验JWT令牌 pip install python-jose==3.2.0 passlib 用于处理哈希密码的包 支持许多安全哈希算法以及配合算法使用的实用程序 推荐的算法是 Bcrypt pip install passlib[Bcrypt]==1.7.4 二、哈希并校验密码 1、创建对象,进行哈希和校验密码 from p
oauth2-jwt:示例OAuth 2.0和JSON Web令牌集成
05-02
综上所述,`oauth2-jwt`项目展示了如何在Java环境中利用OAuth 2.0和JWT实现安全的授权和身份验证,同时通过RSA密钥对保证令牌的安全性,并且具备令牌撤销功能以适应集群环境。如果你想要深入理解这些概念和实现细节...
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
以下是使用OAuth2和JWT Token保护ASP.NET Core Web API的一些关键步骤和知识点: 1. **配置IdentityServer4**:首先,需要设置一个IdentityServer4实例,配置客户端(Client)信息,包括客户端ID、秘密、允许的权限...
ruby-jwt:RFC 7519 OAuth JSON Web令牌JWT)标准的ruby实现
02-01
如果使用的是加密签名,则每次调用JWT.decode时都需要在选项哈希中指定算法,以确保攻击者。 强烈建议您对算法进行硬编码,因为通过动态选择算法可能会使自己容易受到攻击 请参阅: 没有 无-未签名的令牌 require ...
JWT_Authentication_Authorization:使用NodeJs构建的REST API,以MongoDB作为数据库,使用JWT令牌对用户进行身份验证和授权
05-27
在本项目中,我们主要探讨的是如何利用Node.js构建一个基于REST API的系统,并结合MongoDB数据库以及JSON Web Tokens(JWT)实现用户的身份验证和授权。以下是对该项目中涉及的关键技术点的详细解释: 1. **Node.js...
jwt攻击总结
Shanfenglan's blog
12-31 8930
文章目录1. 通过修改header中的alg字段实现攻击2. 通过爆破密钥3. 修改kid实现攻击4. 修改加密算法参考文章 jwt格式举例如下,以点来分割,总共为三部分: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIyMzMzIiwibmFtZSI6Im5wZnMiLCJhZG1pbiI6dHJ1ZX0.mcHAMzOrqyqLk5-tmWVp1-zdlqIVcOdv-39oQIoOWoQ jwt是一种类似于token、session的用户身份凭据。
auth返回的access_token 如何使用_如何测试使用jwt-auth 的 Laravel API
weixin_28419039的博客
12-03 144
原文链接:https://learnku.com/laravel/t/43000 讨论请前往专业的 Laravel 开发者论坛:https://learnku.com/Laravel 使用优秀的 jwt-auth 库,可以相对轻松地使用 Laravel 进行 JWT 身份验证,该库位于https://github.com/tymondesigns/jwt-auth在项目中使用并运行 JWT 后,...
FastAPI + Vue 实现 OAuth2 的 jwt token 登录验证
VLyb
09-13 5799
后端使用 FastAPI,前端使用 Vue 来完成登录过程的用 jwt token 实现登录验证功能。 一、后端 FastAPI 1.1 设计用户表 本文采用的是 MySQL 数据库。 首先连接 MySQL 数据库,关于 MySQL 数据库的连接可参见另外一篇文章:FastAPI 连接 MySQL 用户的数据库表如下: class User(Base): __tablename__ = 'users' # 数据库表名 username = Column(String(255), prim
fastAPi】官方文档【使用密码Bearer 的简单 OAuth2】-个人理解
Test20201990的博客
08-21 990
地址:https://fastapi.tiangolo.com/zh/tutorial/security/simple-oauth2/
fastApi笔记12-OAuth2 实现密码哈希Bearer JWT 令牌验证
最新发布
梦忆安凉的博客
02-28 829
fastApiOAuth2 实现密码哈希Bearer JWT 令牌验证
jwt token长度限制_OAUTH.令牌存储介绍以及JWT实现强制登出、登录个数控制
weixin_39755873的博客
11-29 1874
1、令牌存储介绍TokenStore的实现类,有InMemoryTokenStore、JdbcTokenStore、JwkTokenStore、RedisTokenStore。1.1 基于内存的 InMemoryTokenStore优点:单机、简单易用缺点:a) 重启服务器导致令牌全部丢失,用户需要重新授权。 b) 微服务、分布式系统中无法共享令牌信息。1.2 基于数据库的 JdbcTokenSt...
17.FastAPIOAuth2的密码模式
m0_49501453的博客
01-03 3864
17.FastAPIOAuth2的密码模式 用户请求验证原理 说明 用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式和 FastAPI
Spring Cloud OAuth2中访问/oauth/token报401 Unauthorized问题的解决
热门推荐
分享技术,传播知识!
01-16 1万+
Spring Cloud OAuth2中访问/oauth/token报401 Unauthorized问题的解决问题分析问题解决 问题分析 在新建的Spring Cloud OAuth2项目中使用grant_type为password方式访问时报server_error。在postman中如下: { "timestamp": "2021-01-16T10:26:53.052+00:00", "status": 401, "error": "Unauthorized", "me
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值