FastAPI 学习之路(二十九)使用(哈希)密码和 JWT Bearer 令牌的 OAuth2

原创 已于 2022-08-30 23:26:03 修改 · 1.2k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastapi

于 2022-08-30 23:19:13 首次发布
本文介绍如何使用JWT令牌和安全哈希密码确保应用程序的安全性。通过详细步骤讲解JWT的安装、配置及使用方法,并结合PassLib进行密码哈希处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

既然我们已经有了所有的安全流程,就让我们来使用 JWT 令牌和安全哈希密码让应用程序真正地安全。

关于 JWT

       它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准。字符串看起来像这样:

 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它没有被加密,因此任何人都可以从字符串内容中还原数据。

但它经过了签名。因此,当你收到一个由你发出的令牌时,可以校验令牌是否真的由你发出。

通过这种方式,你可以创建一个有效期为 1 周的令牌。然后当用户第二天使用令牌重新访问时,你知道该用户仍然处于登入状态。

一周后令牌将会过期,用户将不会通过认证,必须再次登录才能获得一个新令牌。而且如果用户(或第三方)试图修改令牌以篡改过期时间,你将因为签名不匹配而能够发觉。

我们看下如何实现?

一、安装python-json产生和校验JWT。

pip install python-jose

 二、使用PassLib处理哈希密码

pip install passlib     

还需要安装

bcrypt pip install bcrypt

三、我们看下如何使用,以及思路 

创建一个工具函数以哈希来自用户的密码。

然后创建另一个工具函数,用于校验接收的密码是否与存储的哈希值匹配。

再创建另一个工具函数用于认证并返回用户。

创建用于设定 JWT 令牌签名算法的变量 「ALGORITHM」,并将其设置为 "HS256"。

创建一个设置令牌过期时间的变量。

定义一个将在令牌端点中用于响应的 Pydantic 模型。

创建一个生成新的访问令牌的工具函数。

get_current_user使用的是 JWT 令牌解码,接收到的令牌,对其进行校验,然后返回当前用户。

如果令牌无效,立即返回一个 HTTP 错误。

使用令牌的过期时间创建一个 timedelta 对象。

创建一个真实的 JWT 访问令牌并返回它。

我们最后看下实现代码

from fastapi import FastAPI, Depends, status, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

from pydantic import BaseModel
from typing import Optional
from jose import JWTError, jwt
from datetime import datetime, timedelta
from passlib.context import CryptContext

SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

oauth2_scheme =  OAuth2PasswordBearer(tokenUrl="token")

fake_db_users ={
    "mrli": {
        "username": "mrli",
        "full_name": "mrli_hanjing",
        "email": "mrli@qq.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False
    }
}

app = FastAPI()

def fake_hash_password(password: str):
    """模拟将密码加密"""
    return password


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: Optional[str] = None


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)

def get_password_hash(password):
    return pwd_context.hash(password)

def authenticate_user(db_user, username: str, password: str):
    user = get_user(db_user, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user

def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt

def get_user(db_users, username: str):
    if username in db_users:
        user_dict = db_users[username]
        return UserInDB(**user_dict)

def fake_decode_token(token):
    """我们模拟返回的token值就是username,所以下面可以直接传token"""
    user = get_user(fake_db_users, token)
    return user

def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Authentication Failed",
        headers={"WWW-Authenticate": "Bearer"}
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_db_users, username=token_data.username)
    if not user:
        raise credentials_exception
    return user

def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token", response_model=Token)
def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_db_users, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"}
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {
        "access_token": access_token,
        "token_type": "bearer"
    }

@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


if __name__ == '__main__':
    import uvicorn
    uvicorn.run("main:app", reload=True, debug=True)

我们在Swagger UI上看下效果

当我们实现了Oauth2权限校验后就会出现如上图的Authorize 锁的标志,默认密码是secret,当我们输入用户名密码正确后,会返回用户信息,说明校验成功

我们看下接口/user/me的请求 

 之所以能够正常返回信息是因为我们在请求该接口之前登录了,我们看下该接口的请求头信息,其携带了认证后的token,所以才能正常返回数据:

 如果我们先不登录呢,也就是说不登录就不会有认证头的token信息,那么会怎么样呢?

 校验失败了

 这样就完成了:使用(哈希)密码和 JWT Bearer 令牌的 OAuth2。注意:接口返回的用户不应该返回密码,这个需要在实际中需要屏蔽

fastApi笔记12-OAuth2 实现密码哈希Bearer JWT 令牌验证
梦忆安凉的博客
02-28 1168
fastApiOAuth2 实现密码哈希Bearer JWT 令牌验证
python:Fastapi - 安全性-OAuth2中的password流
一名小测试
03-03 1571
简单絮叨一些 前面一篇文章唠了依赖项,今天主要唠下安全性。 更多的就是身份认证或者授权等问题,一听这词就感觉很复杂,fastapi提供了专门处理安全性的工具 安全性 使用密码 Bearer 的简单 OAuth2 此处使用的是OAuth2中的password流 password流是 OAuth2 中定义的一种方式(流),用于处理安全身份验证。 OAuth2 指在使后端或 API 可以独立于对用户进行身份验证的服务器。 鉴于这个鬼玩意比较生疏,针对代码一段一段且一步一步的唠: fake_u
详解OAuth 2.0授权协议(Bearer token
热门推荐
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
FastAPI-Users项目实战:如何获取当前用户信息
gitblog_00396的博客
06-08 356
FastAPI-Users项目实战:如何获取当前用户信息 引言 在Web应用开发中,用户认证是基础而重要的功能。FastAPI-Users作为FastAPI生态中的用户管理解决方案,提供了简洁高效的方式来处理用户认证相关操作。本文将深入讲解如何使用FastAPI-Users获取当前用户信息,这是构建权限系统的基础。 核心概念:current_user依赖项 FastAPI-Users通过依赖注入的...
SpringSecurity OAuth2 生成JWT
clonetx的博客
05-26 1303
在《SpringSecurity之OAuth2 令牌accessToken的生成过程_clonetx的博客-优快云博客》中我们分析了access_token生成整体流程的源码,最终提到了accessTokenEnhancer.enhance(token, authentication)方法。 而说到转换token,最普遍的就是转成 jwt 了。 1 jwt jwt共分为三部分组成,header、payload、signature,即头、体、签名;其结构如下,使用英文句......
三周精通FastAPI24 OAuth2 实现简单的 Password Bearer 验证
skywalk8163的专栏
10-31 1387
原因很简单,假如数据库被盗,窃贼无法获取用户的明文密码,得到的只是哈希值。这样一来,窃贼就无法在其它应用中使用窃取的密码,要知道,很多用户在所有系统中都使用相同的密码,风险超大。当然,现在测试中,只对用户进行了验证,还不安全。每次传入完全相同的内容(比如,完全相同的密码)时,得到的都是完全相同的乱码。但由于这种用例很常见,FastAPI 为了简便,就直接提供了对它的支持。本例中,因为使用的是 Bearer Token,该响应头的值应为。说不定什么时候,就有工具用得上它,而且,开发者或用户也可能用得上。
基于FastAPI使用JWT技术实现的OAuth2用户认证接口
liupras的博客
12-01 1243
本文阐述了如何基于FastAPI框架实现OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用JWT持有令牌。 附带完整的代码,避免大家再次踩坑。
FastAPI安全门神:OAuth2PasswordBearer的奇妙冒险
05-31 1321
FastAPIOAuth2PasswordBearer是处理OAuth2密码授权流程的核心工具,负责从请求头提取Bearer Token、验证令牌格式有效性,并管理401未认证的自动响应。通过配置tokenUrlauto_error参数,开发者可以定制认证流程。依赖注入系统支持分层解析策略,包括路由级依赖、路径操作函数参数子依赖项。生产环境中建议使用密码哈希JWT配置增强安全性。测试时可通过dependency_overrides覆盖安全依赖,确保测试环境的灵活性。
FastAPI(59)- 详解使用 OAuth2PasswordBearer + JWT 认证
qq_33801641的博客
10-07 1911
JWT JSON Web Tokens 它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准 使用 JWT token 安全密码 hash 使应用程序真正安全 JWT 小栗子 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2M...
如何在FastAPI中轻松实现OAuth2认证并保护你的API?
06-09 702
title: 如何在FastAPI中轻松实现OAuth2认证并保护你的API?author:excerpt:OAuth2 是现代应用程序实现安全认证的行业标准协议,通过令牌而非直接使用用户凭证进行授权。FastAPI 提供类支持密码授权模式,流程包括用户提交凭证、服务器验证、生成访问令牌及验证令牌有效性。配置安全模块需安装依赖库并创建,包含密码哈希、验证及 JWT 令牌生成功能。用户认证通过模拟数据库实现,提供登录接口受保护路由。安全路由保护机制依赖函数验证令牌
Spring Cloud Security:Oauth2结合JWT使用
smart_an的专栏
04-18 1423
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任安全的。
FastAPI 学习之路(二十八)使用密码 Bearer 的简单 OAuth2
mr~li的博客
08-30 1749
使用密码 Bearer 的简单 OAuth2
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 6000
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
OAuth2+JWT 实现权限验证
2401_84046876的博客
04-09 1186
通过上边的测试我们发现,当资源服务授权服务不在⼀起时资源服务使⽤RemoteTokenServices 远程请求授权 服务验证token,如果访问量较⼤将会影响系统的性能。解决上边问题: 令牌采⽤JWT格式即可解决上边的问题,⽤户认证通过会得到⼀个JWT令牌JWT令牌中已经包括了⽤户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法⾃⾏完成令牌校验,⽆需每次都请求认证 服务完成授权。什么是JWT
Oauth2授权模式访问之password访问
面朝大海,春暖花开
06-04 6911
Oauth2授权模式访问之密码(password)访问 1.直接在url后面拼接请求参数 如: http://localhost:8080/oauth/token?grant_type=password&client_id=apple&client_secret=secret&username=admin&password=111111 2.使用form表...
17.FastAPIOAuth2密码模式
m0_49501453的博客
01-03 4034
17.FastAPIOAuth2密码模式 用户请求验证原理 说明 用户携带用户名密码去客户端请求应用,过程中会有用户认证服务,验证通过会返回用户一个token, 用户拿着这个token就可以取去使用他想请求的东西了 初识OAuth2的请求原理 from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app06 = APIRouter() """OAuth2 密码模式 FastAPI
Spring Oauth2-Authorization-Server jwt 认证
面朝大海,春暖花开
05-04 1600
Spring Oauth2-Authorization-Server jwt 认证机制 基于 spring-security-oauth2-authorization-server 0.2.3 配置 资源服务器配置 @Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .mvcMatcher("/messages/**") .authorize
FastAPI 安全认证:Bearer 令牌等多种安全工具简述
敲代码别忘了喝上一杯凉白开。
02-13 1225
在现代 Web 应用中,安全性是至关重要的。FastAPI 提供了简洁而强大的安全机制,帮助开发者快速实现身份验证授权。本篇文章介绍了如何通过 **OAuth2** 密码 **Bearer** 令牌FastAPI 中实现安全认证。通过使用 `OAuth2PasswordBearer`,开发者可以轻松地配置授权流程,支持通过 `username` `password` 获取令牌,然后利用该令牌访问受保护的 API 资源。
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 9761
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
fastapi OAuth2
最新发布
07-18
FastAPI 中实现 OAuth2 认证是构建安全 API 的重要步骤。FastAPI 提供了对 OAuth2 的内置支持,特别是通过 `OAuth2PasswordBearer` 类来简化基于密码OAuth2 流程的实现。以下是实现 OAuth2 认证的关键步骤示例代码。 ### 1. 使用 `OAuth2PasswordBearer` 设置安全方案 FastAPI 通过 `OAuth2PasswordBearer` 类来声明 OAuth2 密码流模式的安全方案。该类会自动将认证机制添加到 OpenAPI 文档中,并确保在接口请求时要求提供有效的访问令牌 [^2]。 ```python from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from pydantic import BaseModel from typing import Optional app = FastAPI() # 定义 OAuth2PasswordBearer 实例 oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") ``` ### 2. 定义用户模型令牌响应模型 为了处理用户信息生成令牌,需要定义用户模型令牌响应模型。 ```python class User(BaseModel): username: str email: Optional[str] = None full_name: Optional[str] = None disabled: Optional[bool] = None class UserInDB(User): hashed_password: str class Token(BaseModel): access_token: str token_type: str ``` ### 3. 模拟用户数据库密码哈希 在实际应用中,用户信息密码哈希应从数据库中获取。以下是一个简单的模拟实现。 ```python from passlib.context import CryptContext pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto") # 模拟用户数据库 fake_users_db = { "johndoe": { "username": "johndoe", "full_name": "John Doe", "email": "johndoe@example.com", "hashed_password": pwd_context.hash("secret"), "disabled": False, } } def get_user(db, username: str): if username in db: return UserInDB(**db[username]) return None def verify_password(plain_password, hashed_password): return pwd_context.verify(plain_password, hashed_password) ``` ### 4. 实现 `/token` 端点 该端点用于接收用户名密码,并返回访问令牌。 ```python from fastapi import Depends, FastAPI, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from jose import JWTError, jwt from datetime import datetime, timedelta # JWT 配置 SECRET_KEY = "your-secret-key" ALGORITHM = "HS256" ACCESS_TOKEN_EXPIRE_MINUTES = 30 def create_access_token(data: dict, expires_delta: Optional[timedelta] = None): to_encode = data.copy() if expires_delta: expire = datetime.utcnow() + expires_delta else: expire = datetime.utcnow() + timedelta(minutes=15) to_encode.update({"exp": expire}) encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) return encoded_jwt @app.post("/token", response_model=Token) async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()): user = get_user(fake_users_db, form_data.username) if not user or not verify_password(form_data.password, user.hashed_password): raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect username or password", headers={"WWW-Authenticate": "Bearer"}, ) access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) access_token = create_access_token( data={"sub": user.username}, expires_delta=access_token_expires ) return {"access_token": access_token, "token_type": "bearer"} ``` ### 5. 受保护的端点 使用 `Depends(oauth2_scheme)` 可以保护端点,只有提供有效令牌的请求才能访问。 ```python @app.get("/users/me", response_model=User) async def read_users_me(token: str = Depends(oauth2_scheme)): try: payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM]) username: str = payload.get("sub") if username is None: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) except JWTError: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) user = get_user(fake_users_db, username) if user is None: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="User not found", headers={"WWW-Authenticate": "Bearer"}, ) return user ``` ### 6. 安全建议 为了确保 API 的安全性,应遵循以下最佳实践 [^3]: - 使用 HTTPS 加密所有通信。 - 定期更新依赖库框架。 - 实施速率限制以防止滥用。 - 进行安全审计渗透测试。 - 避免在错误响应中泄露敏感信息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值