构建模块化的FastAPI应用: 从用户认证到角色控制

最新推荐文章于 2024-09-09 09:47:53 发布
最新推荐文章于 2024-09-09 09:47:53 发布
阅读量773 收藏 11
点赞数 22
分类专栏: fastapi 文章标签: fastapi 数据库 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ylong52/article/details/142033375
版权

实现了用户身份验证及角色授权的基本功能。具体来说,当用户尝试访问某些资源时,系统会首先验证用户的身份,然后根据用户的角色来决定是否允许访问特定资源。例如,普通用户只能访问自己的信息,而管理员可以访问额外的管理界面。这种机制保证了系统的安全性,并且可以根据需要灵活地扩展不同的角色和权限。
在这里插入图片描述

  1. 用户模型定义:定义了一个用户模型 User,包含用户名和角色信息。此外还定义了一个 UserInDB 模型,包含用户密码,用于表示数据库中的用户信息。

  2. 用户身份验证:实现了一个依赖项 get_current_user,通过请求头部的 token 字段来确定当前用户的身份。如果 token 对应的用户存在于模拟数据库 FAKE_USERS_DB 中,则返回该用户对象;否则抛出异常,提示用户不存在或 Token 无效。

  3. 管理员权限检查:定义了一个依赖项 get_admin_user,基于 get_current_user 函数来进一步确认当前用户是否具有管理员权限。如果不是管理员,则抛出异常,提示需要管理员权限。

  4. 用户相关API:在 users 路由模块中定义了几个与用户相关的路径操作。这些操作都需要通过 get_current_user 依赖项来验证当前用户的合法性。例如,read_users 方法返回当前用户的列表,read_user_me 方法返回当前用户的信息,而 read_user 方法则返回指定用户名对应的用户信息,前提是当前用户与请求的用户名匹配。

  5. 管理员相关API:在 admin 路由模块中定义了管理员专属的路径操作。这些操作需要通过 get_admin_user 依赖项来确保只有管理员可以访问。例如,admin_dashboard 方法返回管理员的信息,只有管理员用户可以调用这个端点。

用户角色验证功能

在 FastAPI 中,通常会使用 Pydantic 模型来定义请求和响应的数据结构。为了实现一个简单的用户角色验证功能,我们可以创建一个模型来表示用户,并包含一个字段来存储用户的角色信息。然后,我们可以在依赖项中使用这个模型来进行角色检查。

首先,我们需要安装必要的依赖:

pip install fastapi pydantic uvicorn

接下来,我们更新文件结构并添加新的模型文件:

更新后的文件结构

.
├── app
│   ├── __init__.py
│   ├── main.py
│   ├── dependencies.py
│   ├── models.py  # 新增模型文件
│   ├── routers
│   │   ├── __init__.py
│   │   ├── items.py
│   │   └── users.py
│   └── internal
│       ├── __init__.py
│       └── admin.py

文件内容

  • app/models.py

    用户模型定义。

    from pydantic import BaseModel

class User(BaseModel):
    username: str
    role: str  # 角色字段

class UserInDB(User):
    password: str  # 假设数据库中的用户模型包含密码字段

  • app/dependencies.py

    更新依赖项以包含角色检查。

    from fastapi import Header, HTTPException, Depends
from .models import User  # 导入用户模型

FAKE_USERS_DB = {  # 模拟数据库
    "johndoe": User(username="johndoe", role="admin"),
    "alice": User(username="alice", role="user"),
    "bob": User(username="bob", role="user")
}

async def get_current_user(token: str = Header(...)):  # 从标头获取当前用户
    user = FAKE_USERS_DB.get(token)
    if not user:
        raise HTTPException(status_code=400, detail="Token 无效或用户不存在")
    return user

async def get_admin_user(current_user: User = Depends(get_current_user)):  # 检查是否为管理员
    if current_user.role != "admin":
        raise HTTPException(status_code=403, detail="需要管理员权限")
    return current_user

  • app/routers/users.py

    更新用户路由以使用新依赖。

    from fastapi import APIRouter, Depends
from ..dependencies import get_current_user, get_admin_user
from ..models import User

router = APIRouter(tags=["users"])

@router.get("/users/", response_model=list[User])
async def read_users(current_user: User = Depends(get_current_user)):
    return [current_user]  # 返回当前用户信息

@router.get("/users/me", response_model=User)
async def read_user_me(current_user: User = Depends(get_current_user)):
    return current_user

@router.get("/users/{username}", response_model=User)
async def read_user(username: str, current_user: User = Depends(get_current_user)):
    if current_user.username == username:
        return current_user
    raise HTTPException(status_code=404, detail="用户未找到")

  • app/routers/admin.py

    添加管理员路由。

    from fastapi import APIRouter, Depends
from ..dependencies import get_admin_user
from ..models import User

router = APIRouter(tags=["admin"])

@router.get("/admin/", response_model=User)
async def admin_dashboard(current_user: User = Depends(get_admin_user)):
    return current_user  # 返回当前管理员的信息

现在,你可以启动你的 FastAPI 应用来测试这些端点。例如,你可以使用以下命令来运行你的应用:

uvicorn app.main:app --reload

这样,你就有了一个基本的角色验证系统,可以确保只有拥有正确角色的用户才能访问特定的端点。

黑金IT
关注
  • 22
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FastAPI 中的依赖注入:构建可维护的高性能 Web 应用
明飞的博客
12-04 1334
依赖注入(Dependency Injection,简称DI)是一种软件设计模式,它用于管理和组织一个软件系统中不同模块之间的依赖关系。在依赖注入中,依赖项(也称为组件或服务)不是在代码内部创建或查找的,而是由外部系统提供给组件。这种方式有助于降低组件之间的耦合度,使系统更加灵活、可维护和可测试。
FastAPI框架学习笔记(快速入门FastAPI框架)
Miracle8070
10-29 5338
今天整理一篇后端框架的笔记, fastapi框架是比较主流的后端异步web框架,关键是python语言可以写,正好公司最近安排了一些后端服务的活, 所以就看了一个fastapi框架的入门课程(链接在底部),完成任务,这次想把学习的笔记整理下,方便以后回看回练。
构建Python微服务架构:FastAPI项目解析与指南
gitblog_00905的博客
08-16 901
构建Python微服务架构:FastAPI项目解析与指南 Building-Python-Microservices-with-FastAPIBuilding Python Microservices with FastAPI, published by Packt项目地址:https://gitcode.com/gh_mirrors/bu/Building-Python-Microservic...
Python Web应用程序构建的最佳实践:代码实例与深度解析
一键难忘的博客
03-10 3424
在当今数字时代,构建高效、可扩展的Web应用程序是开发者们的一项重要任务。Python,作为一种简洁、强大的编程语言,为Web开发提供了丰富的工具和框架。在本篇文章中,我们将探讨使用Python构建Web应用程序的最佳实践,通过代码实例和深度解析来帮助你更好地理解和运用这些技术。
Python 高性能Web开发框架FastAPI精通指南
weixin_54217348的博客
03-20 1223
FastAPI,颠覆传统Web开发框架,引领高效、直观、易用的新时代!一站式解决开发繁琐,让你专注于业务逻辑。与pydantic完美融合,打造坚如磐石的数据验证。FastAPI,让你在Web开发的道路上飞速前行,成为代码侠士的首选利器!
2021-10-22 学习笔记:FastAPI基础使用指南
baby_hua的专栏
10-22 2172
2021-10-22 学习笔记:FastAPI基础使用指南 已经第三针疫苗了,祝所有人平安! 简单使用 路径参数 查询参数 请求体 查询参数和字符串校验 路径参数和数值校验 请求体参数 请求体 —— 多个参数 请求体 —— 字段 请求体 —— 嵌套模型 模式额外信息 数据类型 Cookie参数 Header参数 响应模型 其他模型 响应状态码 常用的http状态码 表单数据 上传文件 处理错误 覆盖默认异常处理器 路径参数配置 jsonable_encoder Pydantic 的
谈谈快速构建全栈小型应用(从开发到部署)
qq_22340201的博客
12-19 582
快速全栈开发小类型应用
探索 FastAPI SAAS 模板:打造高效订阅服务的完美工具箱
gitblog_00082的博客
06-15 720
???? 探索 FastAPI SAAS 模板:打造高效订阅服务的完美工具箱 项目地址:https://gitcode.com/philipokiokio/FastAPI_SAAS_Template 在当前快速发展的互联网世界中,构建一个稳健且功能完备的订阅服务(SaaS)应用变得尤为重要。今天,我们来深入探讨一款开源项目——FastAPI SAAS Template,它不仅简化了开发流程,还提供了诸多...
【WebRTC 入门教程】全面解析WebRTC:从底层原理到Qt和FFmpeg的集成应用
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
01-13 2831
在现今这个信息爆炸的时代,技术的迅猛发展为我们提供了前所未有的沟通方式。在这其中,Web Real-Time Communication(网络实时通信,简称WebRTC)技术因其独特的即时通讯能力而引人瞩目。本章节旨在为读者呈现一个关于WebRTC的全面概述,包括其技术细节、应用场景,以及与Qt和FFmpeg的集成方法。
毕设&课程作业_基于FastAPI的快速OAuth2实现.zip
01-24
5. **依赖注入**:FastAPI支持依赖注入,使得代码模块化和可重用性更强。 OAuth2协议,全称Open Authorization,是目前广泛采用的一种授权机制,主要用于安全地授权第三方应用访问用户资源。OAuth2的核心流程包括四...
基于Vue3+Element Plus+FastAPI开发的一个通用中后台管理框架(若依的FastAPI版本).zip
04-03
4. 中后台管理框架:若依的FastAPI版本,这个框架通常包括用户管理、角色权限控制、菜单导航、API管理等功能,为企业级应用提供了一个快速开发的模板。它遵循MVC(Model-View-Controller)架构模式,使得前后端职责...
【进阶】FastAPI中的用户认证与授权
[【进阶】FastAPI中的用户认证与授权](https://img-blog.csdnimg.cn/a05bd7640a8a47a782f0af66302ece48.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU0FQ5bCP55m9a2Vubnk=,size_...
Tortoise-ORM FastAPI integration 中文文档(完整版)
????Fender的博客????
08-11 1340
是一个轻量级的集成工具包,其中包含一个可以在生命周期设置/清理 Tortoise-ORM 的类。FastAPI 基本上是由 Starlette 这 Pydantic 两个库以一种非常独特的方式结合而成的。
数据同步是如何实现的?为什么需要数据同步?
oOBubbleX的博客
09-05 880
实时数据同步,确保数据的一致性和实时更新性,将有利于企业各部门之间高效协作,从而支持企业的业务运作和决策。本文将介绍数据同步概念、数据同步的步骤、数据同步的方式,从而加深对数据同步的认识。
【JavaWeb】JDBC&Druid&Tomcat入门使用
lklalmq的博客
09-04 1111
预编译SQL语句并执行:预防SQL注入问题获取 PreparedStatement 对象// SQL语句中的参数值,使用?占位符替代?// 通过Connection对象获取,并传入对应的sql语句设置参数值上面的sql语句中参数使用?进行占位,在之前之前肯定要设置 这些?的值。PreparedStatement对象:setXxx(参数1,参数2):给?赋 值Xxx:数据类型;如 setInt (参数1,参数2)参数:参数1:?的位置编号,从1 开始参数2:?的值执行SQL语句。
spring事务详细讲解-深入浅出
小电玩
09-08 354
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
【提效工具】AI工作流的1-10个实际落地场景
最新发布
万物皆有灵
09-09 283
在这个快速发展的数字时代,人工智能(AI)正在以惊人的速度改变我们的工作方式。无论你是开发者、教育工作者还是内容创作者,AI工作流提示词助手都能为你提供无与伦比的支持。今天,我们将深入探讨,20个实际落地场景,帮助你更好地理解如何利用这些工具提升工作效率和创造力。💡。
如何防止常见的Web应用安全漏洞!
MJH827的博客
09-04 830
Web应用的广泛使用伴随着各种安全威胁。近年来,许多企业因忽视Web应用的安全性而遭受重大损失。本文将介绍几种常见的Web应用安全漏洞,并提供具体的防护方案和实战演练。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值