FASTAPI中的鉴权

于 2025-07-17 14:45:50 发布
阅读量403 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Python后端 文章标签: fastapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Awesome_py/article/details/149421740

1.基础概念:

  • FastAPI的主要特点是什么?与Flask/Django相比有什么优势?
  • 请解释FastAPI中的路径操作装饰器(如@app.get)和路径操作函数
  • FastAPI如何处理请求和响应?请解释Request和Response模型

astAPI特点:

  • 高性能(基于Starlette和Pydantic)
  • 自动生成交互式API文档(Swagger和ReDoc)
  • 基于Python类型提示的数据验证
  • 支持异步(async/await)
  • 相比Flask: 性能更好,功能更现代
  • 相比Django: 更轻量级,更适合API开发

路径操作装饰器和函数:

@app.get("/items/")  # 定义GET请求处理
async def read_items():
    return [{"name": "Item 1"}]

装饰器定义HTTP方法(GET/POST等)和路径,函数处理业务逻辑

2.鉴权

1.OAuth2 实现简单的 Password 和 Bearer 验证

1.启动服务

from typing import Union

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel

fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

app = FastAPI()


def fake_hash_password(password: str):
    return "fakehashed" + password


oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


class User(BaseModel):
    username: str
    email: Union[str, None] = None
    full_name: Union[str, None] = None
    disabled: Union[bool, None] = None


class UserInDB(User):
    hashed_password: str


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def fake_decode_token(token):
    # This doesn't provide any security at all
    # Check the next version
    user = get_user(fake_users_db, token)
    return user


async def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication credentials",
            headers={"WWW-Authenticate": "Bearer"},
        )
    return user


async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_dict = fake_users_db.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400, detail="Incorrect username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=400, detail="Incorrect username or password")

    return {"access_token": user.username, "token_type": "bearer"}


@app.get("/users/me")
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

保存文件为getUser.py文件

执行命令如下

uvicorn getUser:app --reload  --port 8002

2.测试服务

# 获取access-token
curl -X POST -d "username=johndoe&password=secret" http://localhost:8002/token

输出结果如下

{"access_token":"johndoe","token_type":"bearer"}

再用获取得token请求用户信息

curl -H "Authorization: Bearer johndoe" http://localhost:8002/users/me

输出结果如下

{"username":"johndoe","email":"johndoe@example.com","full_name":"John Doe","disabled":false,"hashed_password":"fakehashedsecret"}

2.OAuth2 实现密码哈希与 Bearer JWT 令牌验证

1.JWT 简介

JWT 即JSON 网络令牌(JSON Web Tokens)。

JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 的内容如下所示:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT 字符串没有加密,任何人都能用它恢复原始信息。

但 JWT 使用了签名机制。接受令牌时,可以用签名校验令牌。

使用 JWT 创建有效期为一周的令牌。第二天,用户持令牌再次访问时,仍为登录状态。

2. 安装依赖

**安装PyJWT**

安装 PyJWT,在 Python 中生成和校验 JWT 令牌:

pip install pyjwt

如果您打算使用类似 RSA 或 ECDSA 的数字签名算法,您应该安装加密库依赖项 pyjwt[crypto]

您可以在 PyJWT Installation docs 获得更多信息。

安装 passlib

pip install passlib[bcrypt]

3.启动服务

from datetime import datetime, timedelta, timezone
from typing import Annotated

import jwt
from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jwt.exceptions import InvalidTokenError
from passlib.context import CryptContext
from pydantic import BaseModel

# to get a string like this run:
# openssl rand -hex 32
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30


fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False,
    }
}


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str | None = None


class User(BaseModel):
    username: str
    email: str | None = None
    full_name: str | None = None
    disabled: bool | None = None


class UserInDB(User):
    hashed_password: str


pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

app = FastAPI()


def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    return pwd_context.hash(password)


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user


def create_access_token(data: dict, expires_delta: timedelta | None = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.now(timezone.utc) + expires_delta
    else:
        expire = datetime.now(timezone.utc) + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: Annotated[str, Depends(oauth2_scheme)]):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except InvalidTokenError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


async def get_current_active_user(
    current_user: Annotated[User, Depends(get_current_user)],
):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token")
async def login_for_access_token(
    form_data: Annotated[OAuth2PasswordRequestForm, Depends()],
) -> Token:
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return Token(access_token=access_token, token_type="bearer")


@app.get("/users/me/", response_model=User)
async def read_users_me(
    current_user: Annotated[User, Depends(get_current_active_user)],
):
    return current_user


@app.get("/users/me/items/")
async def read_own_items(
    current_user: Annotated[User, Depends(get_current_active_user)],
):
    return [{"item_id": "Foo", "owner": current_user.username}]

按照如下命令启动服务

uvicorn getUserJwt:app --reload  --port 8002

4. 测试服务

$ curl -X POST -d "username=johndoe&password=secret" http://localhost:8002/token                                                                    % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   200  100   168  100    32    362     69 --:--:-- --:--:-- --:--:--   431{"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb2huZG9lIiwiZXhwIjoxNzUyNzM0MTEzfQ.FWOeEcv3lIxUmA7Z1ejbP2H5gf-EDGQm8SWUdD5UoCc","token_type":"bearer"}

再用获取到的token去请求

PC@DESKTOP-5SR7P58 MINGW64 /f/gitee/go_code (master)
$ curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb2huZG9lIiwiZXhwIjoxNzUyNzM0MTEzfQ.FWOeEcv3lIxUmA7Z1ejbP2H5gf-EDGQm8SWUdD5UoCc" http://localhost:8002/users/me
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0

PC@DESKTOP-5SR7P58 MINGW64 /f/gitee/go_code (master)
$ curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJqb2huZG9lIiwiZXhwIjoxNzUyNzM0MTEzfQ.FWOeEcv3lIxUmA7Z1ejbP2H5gf-EDGQm8SWUdD5UoCc" http://localhost:8002/users/me/
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100    92  100    92    0     0    412      0 --:--:-- --:--:-- --:--:--   412{"username":"johndoe","email":"johndoe@example.com","full_name":"John Doe","disabled":false}

可以看到携带正确的cookies可以请求成功

FastAPI学习最后一天: Cors跨域和token
百锦再的博客
11-23 1万+
FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
fastapi自定义中间件
ithongchou的博客
06-28 681
接收来自客户端的Request请求;# 将Request请求传回原路由。
FastApi框架及机制
滴水成河,汇流成海
07-09 153
FastAPI是一个高性能的Python Web框架,专为API开发设计,具有自动文档生成、异步支持和类型安全等特性。在方面,它支持多种方案:OAuth2密码流程、JWT令牌验证和API密钥验证,并提供了相应的安全工具类。框架允许灵活组合这些机制,建议生产环境采用HTTPS、合理设置JWT有效期、实现限控制等安全措施。FastAPI系统既简化了常见模式的实现,又保持了高度可定制性,适用于各种安全需求场景。
FastAPI 通过中间件实现JWT
唐浩专栏
02-05 409
实现JWT
Python FastApi 实现签名验证
爱分享的小猿
10-02 1365
大家在写后台接口时,都想要设计一个安全的,稳定的架构来支持各种业务,此文章介绍的Token的机制,和签名的验证。Token作为,签名作防篡改。
【大模型应用开发-FastAPI框架】(十) Fastapi使用JWT实现
04-15 2201
随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web框架,它提供了简单易用的功能来处理身份验证和授。本文将介绍如何在fastapi中使用jwt令牌进行身份验证和授。随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web
fastapi mongo_系统:基于FastAPI的快速OAuth2实现
weixin_39887748的博客
11-30 2891
项目介绍背景本人最近在学习使用FastAPI搭建一些应用的后端框架,FastAPI简单易用,性能强悍,因此使用体验还是较为良好的。其中,官网的Advanced Security里讲到了基于jwt的OAuth2认证(FastAPI-OAuth2[1]),由于自身对系统的不够了解,再加上官网此处的写法十分高级与抽象,因此耗费了大量的时间。现在,基于我的研究,对作者的代码重新整理,降低其耦...
FastAPI 学习之路(二十二)依赖项
mr~li的博客
08-30 885
fastapi依赖
深入了解 FastAPI :掌握前后端身份验证的最佳实践
09-13 2118
如果需要更高度定制的逻辑,可以编写自定义的中间件。这允许你完全控制过程,并在每个请求之前进行处理。FastAPI 提供了多种灵活的方法,使你能够选择最适合你的应用程序需求的方式。从基本 HTTP 认证到 OAuth2.0 和自定义中间件,FastAPI 为构建安全的 Web 应用程序提供了强大的工具和支持。
fastapi登录
01-12
为了创建一个安全的应用程序,在 FastAPI 中实现登录和是非常重要的。下面是一个简单的例子来展示如何设置 OAuth2 密码模式以及令牌验证。 #### 定义依赖项 首先安装必要的库,这可以通过 pip 来完成: ```...
python fastapi接口方法
06-10
FastAPI支持基于Bearer Token的方法,可以使用FastAPI自带的Depends函数结合PyJWT库实现。 以下是一个示例代码: ```python from fastapi import Depends, FastAPI, HTTPException, status from fastapi....
java-JavaSQLdemo.zip
07-19
java-JavaSQLdemo
基于Python3开发的跨平台自动化测试框架_封装Appium和Selenium实现APP与Web自动化测试_支持多设备Android并行测试_监控CPU_FPS_MEM性能指标_.zip
07-19
基于Python3开发的跨平台自动化测试框架_封装Appium和Selenium实现APP与Web自动化测试_支持多设备Android并行测试_监控CPU_FPS_MEM性能指标_
基于ApacheJMeter的分布式接口自动化测试平台_支持HTTPHTTPSRESTSOAP等多种协议接口测试_包含测试计划管理_测试脚本录制_参数化数据驱动_断言验证_性.zip
07-19
基于ApacheJMeter的分布式接口自动化测试平台_支持HTTPHTTPSRESTSOAP等多种协议接口测试_包含测试计划管理_测试脚本录制_参数化数据驱动_断言验证_性
html-jqueryDemo.zip
07-19
html-jqueryDemo
互联网公司招聘部门绩效制度及奖励方案(2)(1).docx
最新发布
07-19
互联网公司招聘部门绩效制度及奖励方案(2)(1).docx
YD_T_2827.5-2015_无线通信射频和微波器件无源互调电平测量方法_第5部分_滤波器类器件(1).pdf
07-19
YD_T_2827.5-2015_无线通信射频和微波器件无源互调电平测量方法_第5部分_滤波器类器件(1).pdf
prettier-eslint-6.0.0.vsix
07-19
1. 插件名称:Prettier ESLint 2. Marketplace地址:https://marketplace.visualstudio.com/items?itemName=rvest.vs-code-prettier-eslint 3. Github地址:https://github.com/idahogurl/vs-code-prettier-eslint.git 4. 插件功能:使用 prettier-eslint 包格式化 JavaScript 和 Typescript 代码的 Visual Studio 扩展 5. 插件介绍:Visual Studio Code 扩展使用prettier-eslint包来格式化 JavaScript 和 TypeScript 代码。 6. 插件领域:前端开发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值