fastapi(十八)-jwt token

最新推荐文章于 2024-06-18 09:39:20 发布
最新推荐文章于 2024-06-18 09:39:20 发布
阅读量4.1k 收藏 5
点赞数
分类专栏: python
原文链接:https://fastapi.tiangolo.com/tutorial/security/oauth2-jwt/
版权

为了让我们的系统更加的安全,我们需要使用jwt token和真正的password hashing
关于JWT
jwt意思是“json web token”
看起来是这个样子的:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它并没有进行加密,所以任何人都可以重写其中的信息。
但是它被签名了。因此你可以验证令牌
你可以在token中设置一个过期时间,只要在过期时间内用户使用这个token访问都会认为用户已经登录了。
当过期时间以后登录,将会认为用户未授权,重新获取token。
安装pyjwt

pip install pyjwt

password hashing
安装 passlib
passlib是专门用于处理密码hash的python包。
支持很多的加密算法,推荐使用Bcrypt

pip install passlib[bcrypt]

from datetime import datetime, timedelta

import jwt
from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jwt import PyJWTError
from passlib.context import CryptContext
from pydantic import BaseModel

# to get a string like this run:
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30


fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
}


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str = None


class User(BaseModel):
    username: str
    email: str = None
    full_name: str = None
    disabled: bool = None


class UserInDB(User):
    hashed_password: str


pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")

app = FastAPI()


def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    return pwd_context.hash(password)


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user


def create_access_token(*, data: dict, expires_delta: timedelta = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except PyJWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}


@app.get("/users/me/", response_model=User)
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


@app.get("/users/me/items/")
async def read_own_items(current_user: User = Depends(get_current_active_user)):
    return [{"item_id": "Foo", "owner": current_user.username}]

关于JWT “subject” sub 的技术细节
jwt特别指出有一个字段“sub”,带有token的对象。
您可以选择使用它,但这是您放置用户标识的地方,因此我们在这里使用它。
JWT除了可以识别用户并允许他直接在您的API上执行操作之外,还可以用于其他用途。
为避免ID冲突,在为用户创建JWT令牌时,您可以在sub键值前面加上例如username:。因此,在此示例中,的值应为sub:username:johndoe。
要记住的重要一点是,sub密钥在整个应用程序中应具有唯一的标识符,并且应该是字符串。

scopes的高级用法
OAuth2具有作用域的概念
可以使用它来向jwt token添加特定的权限。
然后将此token直接提供给用户或者第三方,以便在一系列现在下与你的api进行交互。

vanexph
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastapi学习记录【七】
wangluonanhai的专栏
02-19 1415
fastapi+VUE学习记录
fastapi-security:将身份验证和授权实现为FastAPI依赖项
05-02
FastAPI安全 通过依赖关系向您的FastAPI应用程序添加身份验证和授权。 安装 pip install fastapi-security 文献资料 。
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁
最新发布
gitblog_00028的博客
06-18 395
强力推荐:FastAPI Security —— 为您的FastAPI应用加锁 项目地址:https://gitcode.com/jacobsvante/fastapi-security 在日益复杂且数据敏感的Web开发环境中,安全性成为了每个开发者不可忽视的核心要素。今天,我们来探索一款专门为FastAPI框架设计的安全插件——FastAPI Security,它旨在以最简洁的方式增强您的应用程...
一文搞定fastapi+token认证机制(附全部源码)
qq_36587565的博客
09-13 6413
fastapi最近越发流行,比django轻便易用,尤其是对于后端编写,其轻便的优势越发明显,可是如果是需要和前端进行统一认证需自行设计认证能力,此文就将fastapi+token的实现代码全部展现,希望对你有帮助。http:1.1.1.1:21520:/hello/xxxxx无法访问了,headers设置access_token值,即需要认证才能运行。http:1.1.1.1:21520:/ 和 http:1.1.1.1:21520:/hello/xxxxx。此时就能正常通过token进行认证后访问了。
FastAPI——token验证
weixin_71560103的博客
12-12 1118
这里的APIResponse是我自己定义的一个函数,用来处理返回数据的,大家这里可以自行忽略,同时我这里也使用了md5加密的一个形式,在前后端交互中,前端也可以处理加密,后端也可以,这个可以大家自行沟通,并且我这里也只是提供一个逻辑而已 ,后续我们再讲一下token的验证如何处理。然后我们再回到函数中,data为加密数据,是我们需要再登录时去处理的用户数据,然后expires_delta为过期时间,然后我们再回到我们的接口中去。这种方式来进行密钥的生成,规范的生成模式还是以官网的那种方式去生成。
【Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 4637
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
FastAPI中的token验证
weixin_71560103的博客
12-13 1143
在这里我们将错误类型进行了导入,其实应该还有一部分其他类型的错误,我这里只是简单使用了一下,然后指定token类型为str,并且导入Header,将从这里获取我们的token,然后并对token解码进行验证,这样,就完成了我们的token验证函数。在这里我们需要导入Depends,将我们的验证函数进行注入至接口,这样fastapi在前端进行请求的时候会自动运行这个函数verify_jwt,这样就是一个简单的token验证了。
fastapi-mysql-generator:FastAPI + MySQL Web项目生成器 ,个人认为较为合理的项目组织结构;基于casbin的RBAC权限验证;基于apscheduler的定时任务
05-01
FastAPI and MySQL - 项目生成器 |简介使用FastAPI + MySql 作为数据库的项目生成器, 我是参考FastAPI作者的 项目做的。我把它改成了自己喜欢的格式。很大程度参考了功能JWT token 认证。使用SQLAlchemy models...
项目源码-FastAPI and MySQL - 项目生成器
05-04
- JWT token 认证。 - 使用SQLAlchemy models(MySql). - Alembic migrations 数据迁移. - redis使用演示. - 文件上传演示. - apscheduler 定时任务 (不保证稳定 noqa) - 基于 casbin 的权限验证 (基于 [gin-vue-...
Laravel开发-jwt-auth
08-28
在Laravel中,JWT可以用来创建短期的、无状态的身份验证令牌,适合API认证。 安装JWT-auth库通常通过Composer完成,命令如下: ```bash composer require tymon/jwt-auth ``` 配置是关键步骤。你需要在`config/...
python酒店管理系统,fastapi框架,采用mysql数据库,采用了tortoise-orm连接数据库
01-16
FastAPI提供了内置的JWT(JSON Web Token)认证支持,可以方便地实现用户登录验证。同时,通过中间件和异常处理机制,可以确保系统的健壮性和安全性。此外,为了优化性能,可能还需要考虑数据库索引、缓存策略以及...
FastApi-20-Token获取和使用
Python研究所
07-01 2627
Part1前言通常,我们的接口都是需要认证后才能可以访问的,前面我们介绍了 token 的生成和校验,那在 FastApi 中怎么设计需要认证的接口呢?Part2定义令牌对象oauth2_...
FastAPI Security系列之生成token(基础篇)
Disany的博客
10-29 3146
安装依赖 pip install pyjwt # pip install python-multipart # OAuth2需要通过表单数据来发送信息 pyjwt生成Token细节可参考这篇文章:详解PyJWT生成Token 生成token的代码详解 from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI from fastapi.security
python-fastapi-token的创建与验证
weixin_42100456的博客
10-17 3718
JWT token认证登陆 前一篇博客讲述了获取和验证请求参数, 这一篇就实践下,演示一个最基础的JWT认证,我公司是用了两个token方式验证,一个请求token,一个刷新token,请求token过期时间短,专门用于请求数据,刷新token专门用于刷新过期请求token用的。 jwt官网 https://jwt.io/ 如果还有不懂JWT的,就需要好好看看JWT的知识了,JWT认证目前是前后端分离中非常流行的一种认证方式: 由三段组成 第一段通常是加密算法,第二段是你存储的自定义信息(未加密
Fastapi框架】Fastapi的使用和进阶
黎明总是如期而至
12-13 2910
1.已有中间件HTTPSRedirectMiddleware是fasapi自带的中间件2.自定义中间件。
fastapi中间件验证token
weixin_42422720的博客
01-19 780
现在,当客户端发送HTTP请求时,中间件函数 verify_token() 将会在处理请求之前运行。如果请求未包含有效的Token,服务器将返回状态码为403的错误响应;否则,请求将继续传递给目标路由进行处理。
26.FastAPI安全性
chenhaiy的博客
02-08 1336
26.FastAPI安全性 软件开发中,安全是永恒的话题,FastAPI作为一个优秀的Python Web开发框架,为用户提供了多种工具,帮助用户以标准的方式轻松快速地解决软件开发中的安全性。 FastAPIfastapi.security 模块中为各种安全方案提供了一些工具,这些工具简化了这些安全机制的使用方法。 26.1 OAuth2PasswordBearer FastAPI提供的OAuth2PasswordBearer是使用 OAuth2的密码授权模式的Bearer Token(不记名
Python3学习笔记39-passlib
梦忆安凉的博客
02-26 1671
密码哈希
fastapi拦截请求并对请求的数据进行解密后继续执行
走向CTO的路上...
07-09 937
具体而言,你可以编写一个中间件函数,该函数接收请求对象作为参数,并返回响应对象。的中间件函数,该函数接收请求对象作为参数,并返回响应对象。在该函数内部,我们首先解密了请求数据,然后将解密后的数据重新封装到请求对象中。类似springboot的拦截 拦截了之后解密request的数据, 然后继续转发下去, 执行完毕后对response进行加密。最后,我们对响应数据进行加密,并将加密后的数据重新封装到响应对象中。处理完请求后,返回响应时,响应的数据会自动被加密。添加中间件,在处理请求的函数中,可以通过访问。
python fastapi 使用jwt
05-21
Python FastAPI 是一个快速构建 Web API 的现代化框架,而JWT(Json Web Token)则是一种用于身份认证的开放标准。在 FastAPI 中使用 JWT 可以实现用户认证和授权,保护你的 API 免受非法访问。 使用 JWT 认证需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值