FastAPI 学习之路(二十八)使用密码和 Bearer 的简单 OAuth2

已于 2024-06-28 17:05:59 修改
阅读量1.7k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: fastapi 文章标签: fastapi
于 2022-08-30 22:51:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/myli_binbin/article/details/126614376

OAuth2 规定在使用(我们打算用的)「password 流程」时,客户端/用户必须将 username 和 password 字段作为表单数据发送。我们看下在我们应该去如何实现呢。

我们写一个登录接口,默认返回token和token_type

from fastapi import FastAPI, Depends, status, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

from pydantic import BaseModel
from typing import Optional

oauth2_scheme =  OAuth2PasswordBearer(tokenUrl="token")

fake_db_users ={
    "mrli": {
        "username": "mrli",
        "full_name": "mrli_hanjing",
        "email": "mrli@qq.com",
        "hashed_password": "mrli",
        "disabled": False
    }
}

app = FastAPI()

def fake_hash_password(password: str):
    """模拟将密码加密"""
    return password


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str

def get_user(db_users, username: str):
    if username in db_users:
        user_dict = db_users[username]
        return UserInDB(**user_dict)

def fake_decode_token(token):
    """我们模拟返回的token值就是username,所以下面可以直接传token"""
    user = get_user(fake_db_users, token)
    return user

def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication",
            headers={"WWW-Autehticated": "Bearer"}
        )
    return user


@app.post("/token")
def login(form_data: OAuth2PasswordRequestForm = Depends()):
    """
    校验密码
    目前我们已经从数据库中获取了用户数据,但尚未校验密码。
    让我们首先将这些数据放入 Pydantic UserInDB 模型中。
    永远不要保存明文密码,因此,我们将使用(伪)哈希密码系统。
    如果密码不匹配,我们将返回同一个错误。
    """
    user_dict = fake_db_users.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400, detail="Invalid username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if hashed_password != user.hashed_password:
        raise HTTPException(status_code=400, detail="Invalid username or password")
    return {"access_token": user.username, "token_type": "bearer"}

@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_user)):
    return current_user


if __name__ == '__main__':
    import uvicorn
    uvicorn.run("main:app", reload=True, debug=True)

 我们测试下登录接口

接下来再测试下带认证的/users/me接口 (我们发现不能通过)

 接下来我们带上认证(校验通过,返回了我们想要的数据) 

在我们的代码中,有这样一句:

UserInDB(**user_dict)

 作用是直接将user_dict的键和值作为关键字参数传递,也就是python的解包,等同于:

UserInDB(
    username = user_dict["username"],
    email = user_dict["email"],
    full_name = user_dict["full_name"],
    disabled = user_dict["disabled"],
    hashed_password = user_dict["hashed_password"],
)

假如我们把user的状态disabled改为True 

fake_db_users ={
    "mrli": {
        "username": "mrli",
        "full_name": "mrli_hanjing",
        "email": "mrli@qq.com",
        "hashed_password": "mrli",
        "disabled": False
    }
}

我们不想让disabled为True的用户获取信息,那么我们如何实现呢?

from fastapi import FastAPI, Depends, status, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

from pydantic import BaseModel
from typing import Optional

oauth2_scheme =  OAuth2PasswordBearer(tokenUrl="token")

fake_db_users ={
    "mrli": {
        "username": "mrli",
        "full_name": "mrli_hanjing",
        "email": "mrli@qq.com",
        "hashed_password": "mrli",
        "disabled": True
    }
}

app = FastAPI()

def fake_hash_password(password: str):
    """模拟将密码加密"""
    return password


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str

def get_user(db_users, username: str):
    if username in db_users:
        user_dict = db_users[username]
        return UserInDB(**user_dict)

def fake_decode_token(token):
    """我们模拟返回的token值就是username,所以下面可以直接传token"""
    user = get_user(fake_db_users, token)
    return user

def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication",
            headers={"WWW-Autehticated": "Bearer"}
        )
    return user

def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/login")
def login(form_data: OAuth2PasswordRequestForm = Depends()):
    """
    校验密码
    目前我们已经从数据库中获取了用户数据,但尚未校验密码。
    让我们首先将这些数据放入 Pydantic UserInDB 模型中。
    永远不要保存明文密码,因此,我们将使用(伪)哈希密码系统。
    如果密码不匹配,我们将返回同一个错误。
    """
    user_dict = fake_db_users.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400, detail="Invalid username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if hashed_password != user.hashed_password:
        raise HTTPException(status_code=400, detail="Invalid username or password")
    return {"access_token": user.username, "token_type": "bearer"}

@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


if __name__ == '__main__':
    import uvicorn
    uvicorn.run("main:app", reload=True, debug=True)

其实很简单,我们就是在获取用户信息依赖的基础上增加了另一个是否是active的判断的依赖。

def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user

@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_active_user)):
   
    return current_user

FastAPI从入门到实战(15)——OAuth2 密码模式 FastAPIOAuth2PasswordBearer
tangsiqi130的博客
02-05 395
【代码】FastAPI从入门到实战(15)——OAuth2 密码模式 FastAPIOAuth2PasswordBearer
Python Web 开发:利用 FastAPI 构建 OAuth2 授权与认证系统
switch616的博客
12-11 2031
OAuth2(开放授权 2.0)是一种广泛使用的授权框架,主要用于允许用户在不提供密码的情况下,授权第三方应用访问其受保护的资源。OAuth2 使得应用之间可以安全地共享用户资源,典型的应用场景包括社交媒体账号登录(如 Google、GitHub、Facebook 登录),并且能够在不泄露用户隐私的前提下,进行权限控制。授权服务器(Authorization Server)授权服务器负责验证用户身份,并发放授权令牌。
FastAPI 中的 OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 1834
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
FastAPI安全门神:OAuth2PasswordBearer的奇妙冒险
weixin_30443729的博客
05-31 79
1.FastAPI与Tortoise-ORM开发的神奇之旅2.N+1查询:数据库性能的隐形杀手与终极拯救指南3.4.数据库连接池:从银行柜台到代码世界的奇妙旅程5.Alembic迁移脚本:让数据库变身时间旅行者6.数据库事务回滚:FastAPI中的存档与读档大法7.多数据库迁移的艺术:Alembic在复杂环境中的精妙应用8.Alembic迁移脚本冲突的智能检测与优雅合并之道9.飞行中的引擎更换:生产环境数据库迁移的艺术与科学10.FastAPI与Alembic:数据库迁移的隐秘艺术。
三周精通FastAPI24 OAuth2 实现简单的 Password Bearer 验证
skywalk8163的专栏
10-31 1387
原因很简单,假如数据库被盗,窃贼无法获取用户的明文密码,得到的只是哈希值。这样一来,窃贼就无法在其它应用中使用窃取的密码,要知道,很多用户在所有系统中都使用相同的密码,风险超大。当然,现在测试中,只对用户进行了验证,还不安全。每次传入完全相同的内容(比如,完全相同的密码)时,得到的都是完全相同的乱码。但由于这种用例很常见,FastAPI 为了简便,就直接提供了对它的支持。本例中,因为使用的是 Bearer Token,该响应头的值应为。说不定什么时候,就有工具用得上它,而且,开发者或用户也可能用得上。
【python】fastapi OAuth2PasswordBearer 怎么使用
qq_41604569的博客
05-01 1656
FastAPI 中,您可以使用类来定义 OAuth2 密码模式的认证机制。要使用,您需要按照以下步骤进行配置:在您的 FastAPI 应用程序中导入创建一个在上面的代码中,我们创建了一个名为的实例,并将其作为依赖项添加到了函数中。这意味着当您调用函数时,FastAPI 会自动从请求中获取名为的请求头,并使用中定义的认证机制来验证请求头中的令牌(token)是否有效。如果令牌有效,FastAPI 将把令牌作为字符串传递给您的函数。在请求中添加名为的请求头,以便传递令牌。在上面的命令中,我们使用了-H。
fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证
梦忆安凉的博客
02-28 1169
fastApiOAuth2 实现密码哈希与 Bearer JWT 令牌验证
基于FastAPI使用JWT技术实现的OAuth2用户认证接口
liupras的博客
12-01 1244
本文阐述了如何基于FastAPI框架实现OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用JWT持有令牌。 附带完整的代码,避免大家再次踩坑。
如何在FastAPI中轻松实现OAuth2认证并保护你的API?
06-09 702
title: 如何在FastAPI中轻松实现OAuth2认证并保护你的API?author:excerpt:OAuth2 是现代应用程序实现安全认证的行业标准协议,通过令牌而非直接使用用户凭证进行授权。FastAPI 提供类支持密码授权模式,流程包括用户提交凭证、服务器验证、生成访问令牌及验证令牌有效性。配置安全模块需安装依赖库并创建,包含密码哈希、验证及 JWT 令牌生成功能。用户认证通过模拟数据库实现,提供登录接口受保护路由。安全路由保护机制依赖函数验证令牌。
FastAPI 中的 OAuth2PasswordBearer 授权
四楼没电梯的专栏
10-17 960
OAuth2标准中的一种授权模式。它假设客户端通过发送一个(通常是通过密码登录获取的)来请求资源。这个 token 可以用于访问受保护的 API。接下来,我们将定义一个实例,它会从请求的# 定义 OAuth2PasswordBearer 实例# 一个简单的路径,要求有 Bearer token解释需要指定一个 URL 用于获取 token。客户端会向该 URL 提交用户名密码来请求 token。:FastAPI 的依赖注入系统,会自动从请求中提取并验证 token。在本文中,我们学习了如何使用
OAuth 2.0: Bearer Token Usage
weixin_30929011的博客
05-07 635
  Bearer Token (RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh...
FastAPI(58)- 使用 OAuth2PasswordBearer简单栗子
qq_33801641的博客
10-07 1915
背景 假设在某个域中拥有后端 API(127.0.0.1:8080) 并且在另一个域或同一域的不同路径(或移动应用程序)中有一个前端(127.0.0.1:8081) 并且希望有一种方法让前端使用用户名密码与后端进行身份验证 可以使用 OAuth2 通过 FastAPI 来构建它,通过FastAPI 提供的工具来处理安全性 OAuth2 的授权模式 授权码授权模式 Authorizati...
python:Fastapi - 安全性-OAuth2中的password流
一名小测试
03-03 1573
简单絮叨一些 前面一篇文章唠了依赖项,今天主要唠下安全性。 更多的就是身份认证或者授权等问题,一听这词就感觉很复杂,fastapi提供了专门处理安全性的工具 安全性 使用密码 Bearer简单 OAuth2 此处使用的是OAuth2中的password流 password流是 OAuth2 中定义的一种方式(流),用于处理安全身份验证。 OAuth2 指在使后端或 API 可以独立于对用户进行身份验证的服务器。 鉴于这个鬼玩意比较生疏,针对代码一段一段且一步一步的唠: fake_u
17.FastAPIOAuth2密码模式
m0_49501453的博客
01-03 4035
17.FastAPIOAuth2密码模式 用户请求验证原理 说明 用户携带用户名密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式 FastAPI
高级 Python Web 开发:基于 FastAPIOAuth2 社交登录与第三方认证解析
switch616的博客
01-13 879
OAuth2 是一种授权协议,允许用户将某些权限授权给第三方应用,而无需提供自己的用户名密码
FastAPI 基于OAuth2JWT的Token认证机制()生成token
高压锅博客
06-18 1197
1. OAuth2PasswordBearer OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送usernamepassword参数,然后得到一个token值。 OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户端用来获取token的目标URL。 当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返
FastApi 基于PasswordBearer Token的OAuth2 .0认证
高压锅博客
06-18 1707
1. 获取usernamepassword 后台获取前台提交的usernamepassword,可以使用FastAPI的安全实用性工具获取usernamepassword。 OAuth2规定客户端必需将usernamepassword字段作为表单数据发送(不可使用JSON)。而且规范了字段必须这样命名 from fastapi import FastAPI, Depends from fastapi.security import OAuth2PasswordRequestForm app =
FastAPIOAuth2 scopes 实战:从权限设计到精细化控制
佑瞻的博客
07-02 744
OAuth2 规范中,scopes 是一组用空格分隔的字符串,每个字符串代表一个 "权限标识"。比如常见的users:read,或是 Google 采用的 URL 格式。这些字符串本身没有固定格式要求,但约定俗成会采用 "模块:操作" 的形式,方便理解管理。通过 FastAPI 集成 OAuth2 scopes,我们实现了从 "粗放式权限控制" 到 "精细化功能授权" 的升级。这种基于标准的实现方式,不仅能无缝对接主流认证平台,还能通过 OpenAPI 文档实现权限体系的可视化。
fastapi OAuth2
最新发布
07-18
FastAPI 中实现 OAuth2 认证是构建安全 API 的重要步骤。FastAPI 提供了对 OAuth2 的内置支持,特别是通过 `OAuth2PasswordBearer` 类来简化基于密码OAuth2 流程的实现。以下是实现 OAuth2 认证的关键步骤示例代码。 ### 1. 使用 `OAuth2PasswordBearer` 设置安全方案 FastAPI 通过 `OAuth2PasswordBearer` 类来声明 OAuth2 密码流模式的安全方案。该类会自动将认证机制添加到 OpenAPI 文档中,并确保在接口请求时要求提供有效的访问令牌 [^2]。 ```python from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from pydantic import BaseModel from typing import Optional app = FastAPI() # 定义 OAuth2PasswordBearer 实例 oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") ``` ### 2. 定义用户模型令牌响应模型 为了处理用户信息生成令牌,需要定义用户模型令牌响应模型。 ```python class User(BaseModel): username: str email: Optional[str] = None full_name: Optional[str] = None disabled: Optional[bool] = None class UserInDB(User): hashed_password: str class Token(BaseModel): access_token: str token_type: str ``` ### 3. 模拟用户数据库密码哈希 在实际应用中,用户信息密码哈希应从数据库中获取。以下是一个简单的模拟实现。 ```python from passlib.context import CryptContext pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto") # 模拟用户数据库 fake_users_db = { "johndoe": { "username": "johndoe", "full_name": "John Doe", "email": "johndoe@example.com", "hashed_password": pwd_context.hash("secret"), "disabled": False, } } def get_user(db, username: str): if username in db: return UserInDB(**db[username]) return None def verify_password(plain_password, hashed_password): return pwd_context.verify(plain_password, hashed_password) ``` ### 4. 实现 `/token` 端点 该端点用于接收用户名密码,并返回访问令牌。 ```python from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from jose import JWTError, jwt from datetime import datetime, timedelta # JWT 配置 SECRET_KEY = "your-secret-key" ALGORITHM = "HS256" ACCESS_TOKEN_EXPIRE_MINUTES = 30 def create_access_token(data: dict, expires_delta: Optional[timedelta] = None): to_encode = data.copy() if expires_delta: expire = datetime.utcnow() + expires_delta else: expire = datetime.utcnow() + timedelta(minutes=15) to_encode.update({"exp": expire}) encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) return encoded_jwt @app.post("/token", response_model=Token) async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()): user = get_user(fake_users_db, form_data.username) if not user or not verify_password(form_data.password, user.hashed_password): raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect username or password", headers={"WWW-Authenticate": "Bearer"}, ) access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) access_token = create_access_token( data={"sub": user.username}, expires_delta=access_token_expires ) return {"access_token": access_token, "token_type": "bearer"} ``` ### 5. 受保护的端点 使用 `Depends(oauth2_scheme)` 可以保护端点,只有提供有效令牌的请求才能访问。 ```python @app.get("/users/me", response_model=User) async def read_users_me(token: str = Depends(oauth2_scheme)): try: payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM]) username: str = payload.get("sub") if username is None: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) except JWTError: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) user = get_user(fake_users_db, username) if user is None: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="User not found", headers={"WWW-Authenticate": "Bearer"}, ) return user ``` ### 6. 安全建议 为了确保 API 的安全性,应遵循以下最佳实践 [^3]: - 使用 HTTPS 加密所有通信。 - 定期更新依赖库框架。 - 实施速率限制以防止滥用。 - 进行安全审计渗透测试。 - 避免在错误响应中泄露敏感信息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值