13 FastAPI集成OAuth 2.0 认证

于 2025-02-11 10:24:34 发布
阅读量1.2k 收藏 25
点赞数 17
分类专栏: FastAPI python 文章标签: fastapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wujianyouhun/article/details/145565746
版权

在构建现代 Web 应用时,API 安全性和认证机制至关重要。OAuth 2.0 是一种流行的开放标准,它允许第三方应用授权用户的资源而不暴露用户的凭证(如密码)。在本文中,我们将介绍 OAuth 2.0 认证机制,并结合 FastAPI 实现 OAuth 2.0 授权流程,展示如何集成 JWT(JSON Web Token) 进行用户认证和授权。

1. 认证机制简介:API 安全和认证

在 Web 应用中,认证(Authentication)是确认用户身份的过程,而授权(Authorization)是验证用户是否有权限访问某些资源的过程。安全的 API 需要确保:

  1. 身份验证:确认请求是由合法用户发起的。
  2. 权限控制:确保用户只访问自己有权限的资源。

OAuth 2.0 是一种常用的授权框架,它使用户能够授权第三方应用访问其受保护的资源,而无需暴露自己的凭证。通过 OAuth 2.0,用户可以授权某个应用访问其数据(如 Google、GitHub 等服务),而不需要直接与该应用共享密码。

1.1 OAuth 2.0 授权流程

OAuth 2.0 授权流程分为几个关键步骤:

  1. 客户端请求授权:客户端(应用)请求用户授权,通常是通过一个授权码流程。
  2. 用户授权:用户同意授权,授权服务器向客户端返回一个授权码。
  3. 客户端交换授权码:客户端使用授权码向授权服务器请求访问令牌(Access Token)。
  4. 访问资源:客户端使用访问令牌访问受保护的资源。

1.2 JWT(JSON Web Token)

JWT 是一种常用于认证和信息交换的开放标准。它包含了三个部分:

  1. Header:定义签名的类型和加密算法。
  2. Payload:包含声明(Claims),如用户身份、权限等信息。
  3. Signature:使用加密算法对 Header 和 Payload 进行签名,用于验证数据的完整性。

JWT 广泛应用于 OAuth 2.0 授权流程中作为访问令牌(Access Token)传递。它被客户端用来访问受保护的资源。

2. 实现 OAuth 2.0 授权流程

在本节中,我们将使用 FastAPI 实现 OAuth 2.0 授权流程,并使用 JWT 进行认证。我们将使用 GitHub 作为 OAuth 提供者进行演示。

2.1 安装必要的依赖

首先,我们需要安装 fastapihttpx(用于异步 HTTP 请求)以及 python-dotenv(用于加载环境变量)。


pip install fastapi httpx python-dotenv

2.2 创建 GitHub OAuth 2.0 应用

在 GitHub 上注册 OAuth 应用:

  1. 访问 GitHub 开发者设置页面:GitHub Developer Settings
  2. 创建一个新的 OAuth 应用,记录下 Client IDClient Secret

将这些凭据存储在 .env 文件中:

GITHUB_CLIENT_ID=your-client-id
GITHUB_CLIENT_SECRET=your-client-secret
GITHUB_REDIRECT_URI=http://localhost:8000/callback

2.3 FastAPI 实现 OAuth 2.0 授权流程

以下是一个简单的 FastAPI 应用,实现 GitHub OAuth 2.0 授权流程,并使用 JWT 生成用户的认证令牌。

from fastapi import FastAPI, Depends, HTTPException
from fastapi.security import OAuth2PasswordBearer
from fastapi.responses import RedirectResponse
import httpx
import jwt
import os
from dotenv import load_dotenv

load_dotenv()

app = FastAPI()

# 配置环境变量
CLIENT_ID = os.getenv("GITHUB_CLIENT_ID")
CLIENT_SECRET = os.getenv("GITHUB_CLIENT_SECRET")
REDIRECT_URI = os.getenv("GITHUB_REDIRECT_URI")
GITHUB_API_URL = "https://api.github.com/user"

# JWT 配置
SECRET_KEY = "mysecretkey"
ALGORITHM = "HS256"

# OAuth 2.0 URL
AUTH_URL = f"https://github.com/login/oauth/authorize?client_id={CLIENT_ID}&redirect_uri={REDIRECT_URI}"

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


# 路由:重定向到 GitHub 授权页面
@app.get("/login")
async def login():
    return RedirectResponse(url=AUTH_URL)


# 路由:GitHub 回调并获取用户信息
@app.get("/callback")
async def callback(code: str):
    # 获取 GitHub 返回的 `code`,用它请求 `access_token`
    async with httpx.AsyncClient() as client:
        response = await client.post(
            "https://github.com/login/oauth/access_token",
            data={
                "client_id": CLIENT_ID,
                "client_secret": CLIENT_SECRET,
                "code": code,
                "redirect_uri": REDIRECT_URI,
            },
            headers={"Accept": "application/json"},
        )
    
    data = response.json()
    access_token = data.get("access_token")

    if not access_token:
        raise HTTPException(status_code=400, detail="GitHub authorization failed")

    # 使用 Access Token 获取 GitHub 用户信息
    async with httpx.AsyncClient() as client:
        user_info = await client.get(
            GITHUB_API_URL,
            headers={"Authorization": f"Bearer {access_token}"}
        )

    user = user_info.json()
    
    # 生成 JWT 令牌
    jwt_token = jwt.encode({"sub": user["login"]}, SECRET_KEY, algorithm=ALGORITHM)

    return {"access_token": jwt_token, "token_type": "bearer"}


# 路由:受保护的资源,只有认证用户可以访问
@app.get("/protected")
async def protected(token: str = Depends(oauth2_scheme)):
    try:
        # 解码 JWT,验证身份
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        user = payload.get("sub")
        if user is None:
            raise HTTPException(status_code=403, detail="Could not validate credentials")
        return {"message": f"Welcome, {user}!"}
    except jwt.PyJWTError:
        raise HTTPException(status_code=403, detail="Could not validate credentials")

2.4 流程解释

  1. 用户登录:访问 /login 路由,用户将被重定向到 GitHub 的 OAuth 授权页面。
  2. 用户授权:用户在 GitHub 页面同意授权后,GitHub 会回调 /callback 路由,并附带一个 code
  3. 交换授权码:FastAPI 会使用 code 向 GitHub 请求 access_token
  4. 获取用户信息:使用 access_token 获取用户信息。
  5. 生成 JWT:使用用户的 GitHub 登录名生成 JWT 令牌,并返回给客户端。
  6. 访问受保护资源:客户端可以使用该 JWT 访问受保护资源。FastAPI 会验证 JWT 是否有效,并返回用户的信息。

通过使用 FastAPI,我们成功实现了 OAuth 2.0 授权流程与 JWT 集成。FastAPI 提供了简单且强大的工具来处理 OAuth 2.0 授权,快速构建安全的 API。我们通过以下方式实现了 API 安全认证:

  • 使用 GitHub 作为 OAuth 2.0 提供者进行用户认证。
  • 使用 JWT 作为认证令牌,确保 API 安全。
  • 利用 FastAPI 的简洁语法快速集成认证流程和安全功能。

这种方法可以很容易地扩展到其他 OAuth 2.0 提供者(如 Google、Facebook 等),并且 FastAPI 的异步特性使得这一过程非常高效。
在这里插入图片描述

FastAPI Web框架教程 第9章 登录认证相关
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
04-01 1542
对于很多应用来说,注册接口是必可不少的。你会发现就一个简单的注册接口,其实还是有很多问题需要我们思考的。首先,注册接口一般是将用户的个人信息提交给服务端,因此,我们选择POST请求然后,注册信息中一般都包含密码,所以不能简单的在查询参数中提交给后端,需要把数据放在请求体中。最后,请求体如何使用JSON格式,那注册时如果有上传文件的需求,将比较麻烦。因此我们使用Form表单的形式。结论:对于常见的注册接口,使用POST,使用Form表单来上传数据。
Python Web 开发:利用 FastAPI 构建 OAuth2 授权与认证系统
switch616的博客
12-11 1732
OAuth2(开放授权 2.0)是一种广泛使用的授权框架,主要用于允许用户在不提供密码的情况下,授权第三方应用访问其受保护的资源。OAuth2 使得应用之间可以安全地共享用户资源,典型的应用场景包括社交媒体账号登录(如 Google、GitHub、Facebook 登录),并且能够在不泄露用户隐私的前提下,进行权限控制。授权服务器(Authorization Server)授权服务器负责验证用户身份,并发放授权令牌。
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得数据和权限验证.
【Python】FastAPI:Token认证
2303_80346267的博客
11-19 1183
本教程通过 **FastAPI** 实现用户登录和基于 **JWT(JSON Web Token)** 的认证与授权,适合初学者到进阶用户。教程特别关注 **`Depends`**、**`OAuth2PasswordBearer`** 等非基础操作的详细讲解,帮助你全面掌握相关技术。
FastApi进阶(apirouter+认证
瑞瑞的博客
12-07 957
这一章学习ApiRouter和权限认证
Python | 为FastAPI后端服务添加API Key认证(分别基于路径传参和header两种方式且swagger文档友好支持)
野生猿林仔的博客
09-18 4074
FastAPI,如其名所示,是一个极为高效的框架,特别适用于构建 API 后端服务。而在与其他网站的 API 接口进行交互时,API Key认证是一种非常普遍的安全机制。典型的例子是ChatGPT的接口,我们需要申请一个专属的API Key才能发起有效的请求。虽然我们可以直接在定义接口时自定义接收参数,但这种方式需要在每个接口都增加相同的代码,十分不优雅,且该方式不支持FastAPI自带的swagger文档友好显示。
OAuth 2.0 授权流程详解与 FastAPI 实现
09-10 1008
OAuth 2.0 是一个授权框架,它定义了多种授权流程,允许用户将权限授予第三方应用。授权码流程:适用于 Web 应用,通过授权码交换访问令牌。密码凭据流程:适用于能够安全存储用户凭证的应用。客户端凭据流程:适用于服务器到服务器的通信。简化授权流程:适用于纯前端应用,如 JavaScript 应用。设备授权流程:适用于输入受限的设备,如智能电视。OAuth 2.0 提供了灵活的授权流程,适用于各种应用场景。FastAPI 通过内置的支持,使得实现 OAuth 2.0 变得简单。
【11.0FastapiOAuth2.0的授权模式
Chimengmeng的博客
10-01 736
【一】OAuth2.0的授权模式 授权码授权模式(Authorization Code Grant) 隐式授权模式(Implicit Grant) 密码授权模式(Resource Owner Password Credentials Grant) 客户端凭证授权模式(Client Credentials Grant) 【二】密码授权模式 【1】FastAPIOAuth...
基于FastAPI使用JWT技术实现的OAuth2用户认证接口
liupras的博客
12-01 1160
本文阐述了如何基于FastAPI框架实现OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用JWT持有令牌。 附带完整的代码,避免大家再次踩坑。
Oauth2.0登录鉴权验证
02-24
Oauth2.0,第三方登录鉴权验证教程。
基于OAuth2.0和JWT规范实现安全易用的用户认证
liupras的博客
01-01 1087
遵循`OAuth2.0`和`JWT`规范实现用户认证,不但具有很好的实用性,还能提供很不错的安全保障。 本文结合实用的代码讲述了基于`OAuth2.0`和`JWT`,在前后端分离的系统中,实现用户使用方便而又安全可靠的用户认证的基本思路。
fastapi身份认证
fggdgh的博客
12-10 2858
fastapi OAuth2用户认证
Python Web开发:基于FastAPI认证与授权
最新发布
switch616的博客
01-14 1276
在现代Web应用中,认证与授权是保障系统安全性、用户数据隐私以及防止未授权访问的基石。FastAPI框架作为一个高效且简洁的Python Web开发框架,提供了强大的认证和授权功能,尤其适合构建需要高性能和高安全性的API。FastAPI认证与授权不仅仅局限于传统的用户名密码验证,还可以扩展为Token认证OAuth2认证等。
FastAPI】在FastAPI中实现用户登录和Token认证(JWT)并展示到Swagger UI
h1773655323的博客
10-08 5292
在现代的Web应用中,用户认证是非常关键的部分。无论是构建一个简单的API还是复杂的Web应用,保护用户数据和验证用户身份都是必不可少的。JWT(JSON Web Token)是一种非常流行的认证机制,结合FastAPI的强大功能,可以轻松实现基于Token的用户认证。在本文中,我们将介绍如何在FastAPI中实现用户登录,生成JWT Token,并通过该Token保护API路由。同时,我们还会展示如何在Swagger UI中使用这些接口进行测试和演示。JWT(JSON Web Token)是一种紧凑的、U
17.FastAPIOAuth2的密码模式
m0_49501453的博客
01-03 3981
17.FastAPIOAuth2的密码模式 用户请求验证原理 说明 用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式和 FastAPI
OAuth2.0认证
Leon_Jinhai_Sun的博客
12-21 272
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不兼容OAuth 1.0即完全废止了OAuth1.0OAuth2.0正是实现了上面的机制,它的运行流程如下: (A)小王访问技术论坛,并使用QQ登录,QQ要求小王授权。 ​ (B)小王同意QQ给予技术论坛授权。 ​ (C)技术论坛使用上一步获得的授权,向QQ认证服务器申请令牌(access
Oauth2.0 认证
m0_62943934的博客
12-09 1908
Oauth2.0 是非常流行的网络授权表准,已经广泛应用在全球范围内,比较大的公司,如腾讯等都有大量的应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值