基于FastAPI使用JWT技术实现的OAuth2用户认证接口

已于 2024-12-01 15:46:05 修改
阅读量1.1k 收藏 18
点赞数 32
分类专栏: fastapi AI编程实战 jwt 文章标签: fastapi
于 2024-12-01 15:45:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liupras/article/details/144170468
版权

文章目录

本文阐述了如何基于FastAPI框架实现 OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用 JWT 持有令牌。
附带完整的代码,避免大家再次踩坑。

关于 OAuth2

OAuth 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用。比如:微信登录、Facebook,Google,Twitter,GitHub等。
OAuth2规范要求使用密码流时,客户端或用户必须以表单数据形式发送 usernamepassword 字段。这两个字段必须命名为 usernamepassword ,不能使用 user-nameemail 等其它名称。
该规范要求必须以表单数据形式发送 username 和 password,因此,不能使用 JSON 对象。
当然,前端仍可以显示终端用户所需的名称,数据库模型也可以使用自己定义的名称。

关于OAuth的更多知识,您可以参考:理解OAuth2.0

关于 JWT

JWT 即JSON 网络令牌(JSON Web Tokens)是目前最流行的跨域认证解决方案。它在服务端将用户信息进行签名(如果有保密信息也可以加密后再签名),这样可以防止它被篡改。
每次客户端提交请求时,都附带 JWT 内容,这样服务端可以直接读取用户信息,而不用必须从服务器端的会话中获取。

关于JWT的更多知识,可以参考:JSON Web Token 入门教程

安装依赖

# 安装 PyJWT,在 Python 中生成和校验 JWT 令牌
pip install pyjwt

# Passlib 是处理密码哈希的 Python 包,支持很多安全哈希算法及配套工具。
# 本教程推荐的算法是 Bcrypt。
pip install passlib[bcrypt]

准备用户数据库

这里准备了用户数据和处理用户对象的简单方法,没有真正链接数据库。

from fastapi import Depends, FastAPI,HTTPException,status
from fastapi.security import OAuth2PasswordBearer,OAuth2PasswordRequestForm
from pydantic import BaseModel
from passlib.context import CryptContext
from datetime import datetime, timedelta, timezone
import jwt
from jwt.exceptions import InvalidTokenError

from typing import Union
from typing import Annotated

# 模仿用户数据库
fake_users_db = {
   
    "liu": {
   
        "username": "liu",
        "full_name": "Jack Liu",
        "email": "liupras@gmail.com",
        "hashed_password": "$2b$12$XMT2KGR.3pBUszKSl91I6uJDWVZIncZMyqgXzH1KnWqZcPZ/k5pLu",          #12345678
        "disabled": False,
    },
    "wang": {
   
        "username": "wang",
        "full_name": "Errin Wang",
        "email": "56008507@qq.com",
        "hashed_password": "$2b$12$WjyqXlyP/TCyysi0HwLWGenjP668dBswX39aKJzByZTlTDZ9kD.5e",          #23456789
        "disabled": True,
    },
}

# Token实体
class Token(BaseModel):
    access_token: str
    token_type: str

class TokenData(BaseModel):
    username: str | None
最低0.47元/天 解锁文章
fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证
梦忆安凉的博客
02-28 1102
fastApiOAuth2 实现密码哈希与 Bearer JWT 令牌验证
Python Web 开发:利用 FastAPI 构建 OAuth2 授权与认证系统
switch616的博客
12-11 1887
OAuth2(开放授权 2.0)是一种广泛使用的授权框架,主要用于允许用户在不提供密码的情况下,授权第三方应用访问其受保护的资源。OAuth2 使得应用之间可以安全地共享用户资源,典型的应用场景包括社交媒体账号登录(如 Google、GitHub、Facebook 登录),并且能够在不泄露用户隐私的前提下,进行权限控制。授权服务器(Authorization Server)授权服务器负责验证用户身份,并发放授权令牌。
FastAPI用户认证系统开发指南:从零构建安全API
最新发布
m0_74488469的博客
04-10 1247
用户注册用户登录(获取JWT令牌)用户信息更新用户删除用户信息查询(单个/全部)数据库模型Pydantic模型(用于请求/响应验证)id: int本文详细介绍了如何使用FastAPI构建一个完整的用户认证系统,涵盖了从数据库模型设计到API实现的各个方面。FastAPI的基本使用和路由定义SQLAlchemy ORM的配置和操作JWT身份验证的实现密码安全处理的最佳实践RESTful API的设计原则。
FastAPI OAuth2实现用户验证
jxncxgx的专栏
09-24 450
【代码】FastAPI OAuth2实现用户验证。
13 FastAPI集成OAuth 2.0 认证
wujianyouhun的专栏
02-11 1372
在 Web 应用中,认证(Authentication)是确认用户身份的过程,而授权(Authorization)是验证用户是否有权限访问某些资源的过程。身份验证:确认请求是由合法用户发起的。权限控制:确保用户只访问自己有权限的资源。OAuth 2.0 是一种常用的授权框架,它使用户能够授权第三方应用访问其受保护的资源,而无需暴露自己的凭证。通过 OAuth 2.0,用户可以授权某个应用访问其数据(如 Google、GitHub 等服务),而不需要直接与该应用共享密码。
三周精通FastAPI24 OAuth2 实现简单的 Password 和 Bearer 验证
skywalk8163的专栏
10-31 1314
原因很简单,假如数据库被盗,窃贼无法获取用户的明文密码,得到的只是哈希值。这样一来,窃贼就无法在其它应用中使用窃取的密码,要知道,很多用户在所有系统中都使用相同的密码,风险超大。当然,现在测试中,只对用户进行了验证,还不安全。每次传入完全相同的内容(比如,完全相同的密码)时,得到的都是完全相同的乱码。但由于这种用例很常见,FastAPI 为了简便,就直接提供了对它的支持。本例中,因为使用的是 Bearer Token,该响应头的值应为。说不定什么时候,就有工具用得上它,而且,开发者或用户也可能用得上。
基于FastAPI-Users实现用户管理系统的例子
03-12
FastAPI-Users是一个基于FastAPI框架的用户管理工具,它为开发人员提供了一套便捷的接口来处理用户注册、登录、权限验证以及状态管理等功能。该工具可以帮助开发者快速构建安全的用户管理系统,尤其适用于RESTful ...
基于OAuth2.0和JWT规范实现安全易用的用户认证
liupras的博客
01-01 1174
遵循`OAuth2.0`和`JWT`规范实现用户认证,不但具有很好的实用性,还能提供很不错的安全保障。 本文结合实用的代码讲述了基于`OAuth2.0`和`JWT`,在前后端分离的系统中,实现用户使用方便而又安全可靠的用户认证的基本思路。
毕设&课程作业_基于fastapi(python后端框架)和vue2实现了RESTful风格的前后端分离.zip
01-24
本项目以"毕设&课程作业_基于fastapi(python后端框架)和vue2实现了RESTful风格的前后端分离.zip"为主题,深入探讨了使用Python的FastAPI框架作为后端,Vue2作为前端的开发实践,以及如何构建符合RESTful原则的接口。...
fastapi mongo_鉴权系统:基于FastAPI的快速OAuth2实现
weixin_39887748的博客
11-30 2881
项目介绍背景本人最近在学习使用FastAPI搭建一些应用的后端框架,FastAPI简单易用,性能强悍,因此使用体验还是较为良好的。其中,官网的Advanced Security里讲到了基于jwtOAuth2认证(FastAPI-OAuth2[1]),由于自身对鉴权系统的不够了解,再加上官网此处的写法十分高级与抽象,因此耗费了大量的时间。现在,基于我的研究,对作者的代码重新整理,降低其耦...
fastapi security oauth2-jwt 加注释代码
nongcunqq的博客
12-03 364
from datetime import datetime, timedelta from typing import Optional from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from jose import JWTError, jwt from passlib.conte
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得数据和权限验证.
FastAPI 中的 OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 1693
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
FastAPI从入门到实战(15)——OAuth2 密码模式和 FastAPIOAuth2PasswordBearer
tangsiqi130的博客
02-05 374
【代码】FastAPI从入门到实战(15)——OAuth2 密码模式和 FastAPIOAuth2PasswordBearer。
python:Fastapi - 安全性-OAuth2中的password流
一名小测试
03-03 1550
简单絮叨一些 前面一篇文章唠了依赖项,今天主要唠下安全性。 更多的就是身份认证或者授权等问题,一听这词就感觉很复杂,fastapi提供了专门处理安全性的工具 安全性 使用密码和 Bearer 的简单 OAuth2 此处使用的是OAuth2中的password流 password流是 OAuth2 中定义的一种方式(流),用于处理安全和身份验证。 OAuth2 指在使后端或 API 可以独立于对用户进行身份验证的服务器。 鉴于这个鬼玩意比较生疏,针对代码一段一段且一步一步的唠: fake_u
17.FastAPIOAuth2的密码模式
m0_49501453的博客
01-03 4001
17.FastAPIOAuth2的密码模式 用户请求验证原理 说明 用户携带用户名和密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式和 FastAPI
【11.0】FastapiOAuth2.0的授权模式
Chimengmeng的博客
10-01 745
【一】OAuth2.0的授权模式 授权码授权模式(Authorization Code Grant) 隐式授权模式(Implicit Grant) 密码授权模式(Resource Owner Password Credentials Grant) 客户端凭证授权模式(Client Credentials Grant) 【二】密码授权模式 【1】FastAPIOAuth...
fastapi登录功能
ithongchou的博客
06-27 366
【代码】fastapi登录功能。
【python】fastapi OAuth2PasswordBearer 怎么使用
qq_41604569的博客
05-01 1615
FastAPI 中,您可以使用类来定义 OAuth2 密码模式的认证机制。要使用,您需要按照以下步骤进行配置:在您的 FastAPI 应用程序中导入创建一个在上面的代码中,我们创建了一个名为的实例,并将其作为依赖项添加到了函数中。这意味着当您调用函数时,FastAPI 会自动从请求中获取名为的请求头,并使用中定义的认证机制来验证请求头中的令牌(token)是否有效。如果令牌有效,FastAPI 将把令牌作为字符串传递给您的函数。在请求中添加名为的请求头,以便传递令牌。在上面的命令中,我们使用了-H。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值