FastAPI 通过中间件实现JWT鉴权

已于 2025-02-06 07:35:01 修改
阅读量353 收藏
点赞数 1
文章标签: python
于 2025-02-05 09:33:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python2007cn/article/details/145449570
版权

1、实现login路由白名单获取Token

2、对非白名单的路由进行鉴权

 2.1 检查headers里是否包含鉴权信息

 2.2 检查是否Token过期或非法Token

安装pyjwt包 pip install pyjwt 'passlib[bcrypt]'

实现JWT 生成和解码类

class AuthHandle():

    security=HTTPBearer()
    pwd_context=CryptContext(schemes=['bcrypt'],deprecated='auto')
    secret=settings.JWT_SECRET_KEY

    # 生成Token
    async def encode_token(self,user_id:int)->str:
      payload= {
         'exp': datetime.now()+timedelta(days=0,minutes=120),
         'sub': str(user_id)
      }

      return jwt.encode(payload,self.secret,algorithm='HS256')

    # 验证Token
    async def decode_token(self,token):
        try:
            payload=jwt.decode(token,self.secret,algorithms=['HS256'])
            return payload['sub']
        except jwt.ExpiredSignatureError:
            raise AuthException(message='令牌已过期')
        except jwt.InvalidTokenError:
            raise AuthException(message='无效令牌')


    # 异常类
 class AuthException(Exception):
     def __init__(self,message):
         super().__init__(message)

中间件过滤白名单  WHITE_LIST=['/user/login']

from settings import WHITE_LIST,TOKEN_INVALID_ERROR

class TokenMiddleware(BaseHTTPMiddleware):
    def __init__(self,app):
        super().__init__(app)

    async def dispatch(self,req:Request,call_next):

        # 不在白名单内 提示未授权
        if not req.url.path in WHITE_LIST: 
            # 需要通过JWT鉴权
            if 'Authorization' not in req.headers or not req.headers['Authorization']:
                return Response(content=json.dumps(TOKEN_INVALID_ERROR),status_code=status.HTTP_401_UNAUTHORIZED)
            # 去掉Bearer 
            token=req.headers['Authorization'][7:]
            auth=AuthHandle()
            try:
                await auth.decode_token(token)
            except AuthException as e:
                TOKEN_INVALID_ERROR['msg']=f'{e}'
                return Response(content=json.dumps(TOKEN_INVALID_ERROR),
                                status_code=status.HTTP_401_UNAUTHORIZED
                                )

最终在app.add_middleware(TokenMiddleware)绑定实现

FastAPI中使用JWT令牌进行身份验证和授的方法
ByteBuster的博客
10-04 1342
JWT(JSON Web Token)是一种用于在网络应用间传递声明的开放标准。它可以通过数字签名来验证数据的完整性,并使用密钥对数据进行加密。在FastAPI中,我们可以使用JWT令牌来进行用户身份验证和授,以确保只有授用户可以访问受限资源。以上是在FastAPI中使用JWT令牌进行身份验证和授的详细步骤和示例代码。通过使用JWT令牌,我们可以实现基于令牌的身份验证和授机制,以确保只有授用户可以访问受限资源。
FastAPI学习最后一天: Cors跨域和token
热门推荐
百锦再的博客
11-23 1万+
FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
FastAPI】在FastAPI实现用户登录和Token认证(JWT)并展示到Swagger UI
h1773655323的博客
10-08 6166
在现代的Web应用中,用户认证是非常关键的部分。无论是构建一个简单的API还是复杂的Web应用,保护用户数据和验证用户身份都是必不可少的。JWT(JSON Web Token)是一种非常流行的认证机制,结合FastAPI的强大功能,可以轻松实现基于Token的用户认证。在本文中,我们将介绍如何在FastAPI实现用户登录,生成JWT Token,并通过该Token保护API路由。同时,我们还会展示如何在Swagger UI中使用这些接口进行测试和演示。JWT(JSON Web Token)是一种紧凑的、U
【大模型应用开发-FastAPI框架】(十) Fastapi使用JWT实现
04-15 2139
随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web框架,它提供了简单易用的功能来处理身份验证和授。本文将介绍如何在fastapi中使用jwt令牌进行身份验证和授。随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web
FastAPI系列教程12:使用JWT 登录认证和RBAC 限控制
最新发布
GeekABC
04-30 1205
本节我们就在FastAPI中提供一个基于JWT和RBAC的登录认证及限控制的实现方式。
一文掌握异步web框架FastAPI(三)-- 依赖注入(Depends)、中间件(日志记录、错误处理、身份验证、压缩响应、添加响应头)
qq_38120851的博客
10-21 1235
fastapi依赖注入、中间件
pythonpython指南(十三):FastAPIAuthorization方法
人工智能领域博客
06-18 1740
本文针对FastAPI的Authorization功能进行详细介绍,详细讲述了FastAPI服务端和客户端Authorization如何开发,希望对大家有帮助。
FastAPI 结合 JWT
刘念卿的博客
08-02 1531
JWT(JSON Web Token)是一种用于安全地在各方之间传递信息的开放标准,通常用于用户认证和授。它将用户信息编码为一个签名的令牌,客户端可以使用该令牌访问受保护的资源。在 FastAPI 中,JWT 用于保护 API 路由。用户通过提交用户名和密码获取 JWT,客户端在后续请求中使用该令牌进行身份验证。服务器验证令牌的合法性后,允许用户访问受保护的资源。
fastapi-jwt:带有jwt演示的FastAPI用户身份验证模块
02-15
介绍 FastAPI + JWT + SQLAlchemy + SQLite(或MS SQL Server)演示。 该代码遵循的正式文档。 入门 查看部署在Azure上的自动生成的OpenAPI文档:https:// <APP> .azurewebsites.net / docs 如果是第一次运行该应用程序,则数据库中的users表为空。 为了能够登录和使用该API,您可以向端点发送POST请求:https:// <APP> .azurewebsites.net / auth / users / init(带有空主体)。 这将创建在./configurations.py中定义的默认超级用户。 本地运行 克隆仓库$ git clone https://github.com/juveseason/fastapi-jwt.git 创建虚拟环境并激活$ cd fastapi
fastapi jwt 部分
wisdom_lp的博客
08-02 431
fastapi jwt 部分
19.FastAPI中间件
chenhaiy的博客
02-01 3832
19.FastAPI中间件FastAPI中,可以通过中间件在每个请求被特定的路径操作处理之前,以及在每个响应返回之前进行处理。FastAPI中间件是一个函数,其作用为: 接收应用程序的每一个请求 可以对请求做一些事情或者执行任何需要的代码 将请求传递给应用程序的其他部分 (通过某种路径操作) 获取应用程序生产的响应 (通过某种路径操作) 对该响应进行处理或者执行任何需要的代码 返回响应 19.1定义中间件 可以使用装饰器 @app.midd
fastapi-jwt
02-19
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip install -r requirements.txt 运行应用程序: (venv)$ python main.py 在
fastapi-jwt:通过使用JSON Web令牌(JWT)启用身份验证来保护FastAPI应用程序
02-16
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip install -r requirements.txt 运行应用程序: (venv)$ python main.py 在
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
FastAPI JWT身份验证 说明文件: 源代码: 特征 提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_face: 访问令牌和刷新令牌 新鲜代币 吊销代币 支持WebSocket授 支持将自定义声明添加到JSON Web令牌 将令牌存储在Cookie和CSRF保护中 安装 通过pip开始使用此扩展程序的最简单方法 pip install fastapi-jwt-auth 如果要使用非对称(公共/专用)密钥签名算法,请包括非对称额外要求。 pip install ' fastapi-jwt-auth[asymmetric] ' 执照 该项目根据MIT许可条款获得许可。
Python框架篇(5):FastApi-中间件使用
weixin_68789096的博客
01-04 1582
"中间件"是一个函数,它在每个请求被特定的_路径操作_处理之前,以及在每个响应返回之前工作.它接收你的应用程序的每一个请求然后它可以对这个请求做一些事情或者执行任何需要的代码.然后它将请求传递给应用程序的其他部分 (通过某种_路径操作_).然后它获取应用程序生产的响应(通过某种_路径操作_).它可以对该响应做些什么或者执行任何需要的代码.然后它返回这个响应。
fastapi中间件验证token
weixin_42422720的博客
01-19 1679
现在,当客户端发送HTTP请求时,中间件函数 verify_token() 将会在处理请求之前运行。如果请求未包含有效的Token,服务器将返回状态码为403的错误响应;否则,请求将继续传递给目标路由进行处理。
深入了解 FastAPI :掌握前后端身份验证的最佳实践
09-13 2055
如果需要更高度定制的逻辑,可以编写自定义的中间件。这允许你完全控制过程,并在每个请求之前进行处理。FastAPI 提供了多种灵活的方法,使你能够选择最适合你的应用程序需求的方式。从基本 HTTP 认证到 OAuth2.0 和自定义中间件FastAPI 为构建安全的 Web 应用程序提供了强大的工具和支持。
(04)fastapi的学习——中间件和跨域访问
zyz博客
10-20 1000
我们可以在FastAPI应用中使用中间件中间件实际上是一个函数,在每个request处理之前被调用,同时又在每个response返回之前被调用。1、首先接收访问过来的request。2、然后针对request或其他功能执行自定义逻辑。3、传递request给应用程序继续处理。4、接收应用所产生的response。5、然后针对response或其他功能执行自定义逻辑。6、返回response。我们通过在函数顶部添加装饰器 @app.middleware("http")的方式来新建一个中间件
FastAPI 应用安全加固:HTTPSRedirectMiddleware 中间件全解析
09-14 1578
在当今的网络环境中,数据安全变得越来越重要。HTTPS 作为一种安全协议,它通过加密传输数据来保护用户信息免受窃取和篡改。在 FastAPI 应用中,确保所有的 HTTP 请求都通过 HTTPS 进行是至关重要的。 中间件FastAPI 中用于处理请求前后的通用任务,例如身份验证、日志记录、请求重定向、错误处理等。以下是几种常见的使用中间件的情况:假设我们想要记录每个请求的详细信息,包括请求路径、方法和响应时间。
fastapi实现接口
03-28
<think>嗯,用户想了解FastAPI如何实现接口。那我得先理清楚的常见方法,然后结合FastAPI的特性来讲解。首先,我应该考虑用户可能的背景,可能是开发者,对Web开发有一定了解,但需要具体的实现步骤。 首先,通常有几种方式:Bearer Token(比如JWT)、OAuth2、API Key等。FastAPI支持这些,尤其是OAuth2和JWT,因为官方文档有详细说明。用户可能需要知道不同的方案以及如何选择。 接下来,我应该分步骤介绍。比如,先讲安装依赖,然后设置安全模块,创建用户模型,实现登录接口,保护路由,处理JWT令牌等。每个步骤需要给出代码示例,这样用户能更直观地理解。 要注意的是,代码中的依赖项是否正确导入,比如OAuth2PasswordBearer和OAuth2PasswordRequestForm。同时,需要提到密码哈希处理,不能明文存储,推荐使用passlib库。这部分可能用户会忽略,所以强调安全性很重要。 另外,JWT的使用需要生成和验证令牌,secret_key和算法是必须的。需要提醒用户保护好secret_key,不要硬编码在代码中,而是使用环境变量。可能用户对JWT的结构不太清楚,可以简要说明一下payload的内容。 在路由保护部分,通过Depends依赖注入get_current_user函数,这样每个需要的路由都可以直接使用。这里要说明依赖项的工作原理,以及如何抛出HTTP异常来处理未认证的情况。 可能用户还会关心错误处理,比如令牌无效或过期时的响应。这时候需要提到HTTPException的使用,返回401状态码和错误信息。 最后,总结一下步骤,并提到扩展点,比如角色限管理,可以使用Scopes或者其他库,比如fastapi-permissions。同时,提醒用户实际部署时的注意事项,比如HTTPS、密钥管理等。 检查一下是否有遗漏的部分,比如是否提到了安装必要的库,代码示例是否有误,语法是否正确。比如,OAuth2PasswordBearer的tokenUrl参数是否正确指向登录路由,JWT的生成和解析是否正确使用HS256算法等。 可能用户还会问及其他方式,比如API Key,但用户的问题主要集中在接口,所以以JWT和OAuth2为主。如果有时间的话,可以简要提及其他方法,但重点放在JWT实现上。 确保回答结构清晰,分步骤说明,代码示例正确,并且用中文口语化表达,避免技术术语过多,但保持准确性。同时,按照系统级指令,数学公式用$...$,但这里可能用不上,但需要检查是否有意外的情况。 总之,整理出一个逻辑清晰的步骤,结合代码示例和关键点说明,帮助用户理解FastAPI如何实现接口。</think>以下分步骤介绍FastAPI实现接口的常见方案及核心实现逻辑: 1. **选择方案** - 常用方案:Bearer Token(JWT)、OAuth2、API Key - 推荐组合:OAuth2 + JWTFastAPI原生支持) 2. **安装依赖** ```bash pip install fastapi[all] python-jose[cryptography] passlib ``` 3. **基础实现JWT示例)** ```python from fastapi import Depends, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from jose import JWTError, jwt from passlib.context import CryptContext # 配置参数 SECRET_KEY = "your-secret-key" # 生产环境应使用环境变量 ALGORITHM = "HS256" ACCESS_TOKEN_EXPIRE_MINUTES = 30 pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto") oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") ``` 4. **用户模型与密码验证** ```python class User: def __init__(self, username: str, hashed_password: str): self.username = username self.hashed_password = hashed_password def verify_password(plain_password, hashed_password): return pwd_context.verify(plain_password, hashed_password) def get_user(username: str): # 此处应查询数据库 fake_user = User(username="test", hashed_password=pwd_context.hash("test")) return fake_user ``` 5. **登录接口实现** ```python from datetime import datetime, timedelta def create_access_token(data: dict): to_encode = data.copy() expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) to_encode.update({"exp": expire}) return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) @app.post("/token") async def login(form_data: OAuth2PasswordRequestForm = Depends()): user = get_user(form_data.username) if not user or not verify_password(form_data.password, user.hashed_password): raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect credentials" ) access_token = create_access_token(data={"sub": user.username}) return {"access_token": access_token, "token_type": "bearer"} ``` 6. **路由保护中间件** ```python async def get_current_user(token: str = Depends(oauth2_scheme)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials" ) try: payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM]) username: str = payload.get("sub") if username is None: raise credentials_exception except JWTError: raise credentials_exception user = get_user(username) if user is None: raise credentials_exception return user @app.get("/protected-route") async def protected_route(current_user: User = Depends(get_current_user)): return {"message": f"Welcome {current_user.username}"} ``` **关键要点说明:** 1. 安全凭证存储 - 密码必须哈希存储(使用bcrypt) - JWT密钥应通过环境变量配置 2. 令牌验证流程 - 客户端在请求头携带`Authorization: Bearer <token>` - 服务端验证签名、过期时间和有效负载 3. 错误处理 - 统一返回标准HTTP 401状态码 - 错误消息避免泄露敏感信息 **扩展方案:** - 角色限控制:在JWT payload中添加roles字段,验证时检查限 - 使用第三方库:`fastapi-jwt-auth`、`authlib`等 - OAuth2完整流程实现:支持第三方登录 **注意事项:** 1. 生产环境必须启用HTTPS 2. JTT令牌有效期不宜过长 3. 敏感操作建议结合二次验证 4. 定期轮换加密密钥 实际部署时建议结合以下安全措施: - 速率限制(Rate Limiting) - CORS严格配置 - 请求签名验证 - 完整的日志审计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

恒云客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值