fastapi(十七)-安全

最新推荐文章于 2025-11-02 13:01:22 发布
翻译 最新推荐文章于 2025-11-02 13:01:22 发布 · 4.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://fastapi.tiangolo.com/tutorial/security/simple-oauth2/

本文深入探讨FastAPI中的安全性和OAuth2应用,讲解如何使用OAuth2PasswordBearer和OAuth2PasswordRequestForm处理身份验证和授权,包括实现密码流、获取当前用户及验证活跃状态。

安全介绍
有许多方式去处理安全性,身份认证和授权。
并且它通常是一个复杂而又困难的话题。
fastapi提供一些工具去更容易的处理安全问题。
先来了解一些小的概念
1、OAuth2
OAuth2是一个规范,定义了几种处理身份验证和授权的方式。
它是一个相当广泛的规范,涵盖了几个复杂的用例。
它包括使用“第三方”进行身份验证的方法。
这就是所有带有“使用Facebook,Google,Twitter,GitHub登录”的系统的基础
2、OAuth 1
有一个OAuth 1,它与OAuth2完全不同,并且更为复杂,因为它直接包含有关如何加密通信的规范。
它现在不是很流行或使用。
OAuth2没有指定如何加密通信,它希望您使用HTTPS为您的应用程序提供服务
3、OpenID
OpenID Connect是另一个基于OAuth2的规范。
它只是扩展了OAuth2,以指定一些在OAuth2中相对模糊的内容,以尝试使其更具互操作性。
例如,Google登录使用OpenID Connect(在下面使用OAuth2)。
但是,Facebook登录不支持OpenID Connect。它具有自己的OAuth2风格。
4、OpenAPI
OpenAPI(以前称为Swagger)是用于构建API(现已成为Linux Foundation的一部分)的开放规范。
FastAPI基于OpenAPI。
这就是使多个自动交互式文档界面,代码生成等成为可能的原因。
OpenAPI具有定义多个安全“方案”的方法。
通过使用它们,您可以利用所有这些基于标准的工具,包括这些交互式文档系统。
OpenAPI定义了以下安全方案:

  • apiKey:特定于应用程序的密钥,可以来自:
    • 查询参数。
    • header。
    • cookie。
  • http:标准的HTTP身份验证系统,包括:
    • bearer:标题Authorization的值Bearer加上令牌。这是从OAuth2继承的。
    • HTTP基本身份验证。
    • HTTP摘要等
  • oauth2:所有OAuth2处理安全性的方式(称为“流程”)。
    • 其中一些流程适合构建OAuth 2.0身份验证提供程序(例如Google,Facebook,Twitter,GitHub等):
      • implicit
      • clientCredentials
      • authorizationCode
    • 但是,有一个特定的“流”可以完美地用于直接在同一应用程序中处理身份验证:
      • password:接下来的几章将介绍此示例。
  • openIdConnect:具有定义自动发现OAuth2身份验证数据的方式。 此自动发现是OpenID Connect规范中定义的内容。

fastapi utilities
fastapi提供一些工具给以上的安全模式在fastapi.security模块中。

第一步
想象一下你的后端api在一个域中,而你的前端在另一个域中,或者在相同域中的不同的路径。
并且你想通过用户名和密码来进行前后端授权。
可以使用OAuth2来构建fastapi。
首先来看看它是怎么工作的。

from fastapi import Depends, FastAPI
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")


@app.get("/items/")
async def read_items(token: str = Depends(oauth2_scheme)):
    return {"token": token}

要想让它运行得先安装python-multipart。这是因为OAuth2使用表单数据来发送用户名密码。
运行后可以直接在docs中进行测试。
在这里插入图片描述
目前你无论填入什么都将不起作用。
password flow
密码流是OAuth2中定义得流中得一种方式,去处理安全以及身份验证。
OAuth2被设计来已确保后端或api能够独立于授权用户得服务。
但是这个例子中fastpi程序将会处理api以及授权。
因此,让我们从简化的角度进行回顾:

  • 用户在前端键入他username和和password,然后点击Enter。
  • 前端(在用户的浏览器中运行)发送一个username和password我们的API在一个特定的URL。
  • API会检查username和password,并以“令牌”作为响应
    • 令牌”只是一个包含一些内容的字符串,我们稍后可以使用它来验证该用户。
    • 通常,令牌设置为在一段时间后过期。
      • 因此,用户稍后将不得不再次登录。
      • 而且,如果令牌被盗,则风险会降低。它不像将永远有效的永久密钥(在大多数情况下)。
  • 前端将该令牌临时存储在某个地方。
  • 用户单击前端以转到前端Web应用程序的另一部分。
  • 前端需要从API中获取更多数据。
    • 但是它需要针对该特定端点的身份验证。
    • 因此,为了通过我们的API进行身份验证,它会发送一个标头Authorization,其值Bearer加上令牌。
    • 如果令牌包含foobar,则Authorization标头的内容为:Bearer foobar。
      OAuth2PasswordBearer
      OAuth2PasswordBearer是fastapi提供得使用Bearer token得password流。
      它是客户端使用username 和password来发送并获得token得类。
      oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")
      它并不创建端点路径操作,但是声明客户端得到token得地址。
      然后使用实例作为路径操作得依赖,这个依赖返回得参数是一个str类型得token。

它将会去请求得头部中查找Authorization,验证值是否是Bearer+token并且返回token。
如果头部中没有Authorization,或者值不包括Bearer token,将会返回401.
甚至不用你去检查token是否存在,你可以很确定只要函数被执行了,就能够得到token。
得到当前用户
首先创建用户模型,

class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None

创建get_current_user 依赖
get_current_user将会依赖oauth2_scheme。并从中得到token。

async def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    return user

get_current_user将会使用一个假的功能函数,以token作为参数并返回user模型。

def fake_decode_token(token):
    return User(
        username=token + "fakedecoded", email="john@example.com", full_name="John Doe"
    )

完整代码:

from typing import Optional

from fastapi import Depends, FastAPI
from fastapi.security import OAuth2PasswordBearer
from pydantic import BaseModel

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


def fake_decode_token(token):
    return User(
        username=token + "fakedecoded", email="john@example.com", full_name="John Doe"
    )


async def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    return user


@app.get("/users/me")
async def read_users_me(current_user: User = Depends(get_current_user)):
    return current_user

在登陆的路径操作中需要以form格式传入username以及password
scope
客户端还可以传入scope参数,这个参数实际是以空格分隔的多个scope。每一个scope都是string。
他们经常被用于声明特殊的安全权限,eg:
users:read or users:write

OAuth2PasswordRequestForm

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel

fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "alice@example.com",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}

app = FastAPI()


def fake_hash_password(password: str):
    return "fakehashed" + password


oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")


class User(BaseModel):
    username: str
    email: str = None
    full_name: str = None
    disabled: bool = None


class UserInDB(User):
    hashed_password: str


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def fake_decode_token(token):
    # This doesn't provide any security at all
    # Check the next version
    user = get_user(fake_users_db, token)
    return user


async def get_current_user(token: str = Depends(oauth2_scheme)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication credentials",
            headers={"WWW-Authenticate": "Bearer"},
        )
    return user


async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_dict = fake_users_db.get(form_data.username)
    if not user_dict:
        raise HTTPException(status_code=400, detail="Incorrect username or password")
    user = UserInDB(**user_dict)
    hashed_password = fake_hash_password(form_data.password)
    if not hashed_password == user.hashed_password:
        raise HTTPException(status_code=400, detail="Incorrect username or password")

    return {"access_token": user.username, "token_type": "bearer"}


@app.get("/users/me")
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

OAuth2PasswordRequestForm是一个声明以下body内容的类依赖:

  • username
  • password
  • 可选scope
  • 可选grant_type
  • 可选client_id
  • 可选client_secret

OAuth2PasswordBearer 使fastapi知道他是安全模式,所以它会被直接加到openapi中,而OAuth2PasswordRequestForm仅仅是一个类依赖,你也可以直接自己声明表单参数。fastapi提供它仅仅是使用起来更简单。

利用 Python FastAPI 构建安全可靠的 API
Python编程之道的博客
07-08 811
本文旨在为开发人员提供使用FastAPI构建安全API的全面指南。我们将覆盖从基础设置到高级安全特性的所有内容,重点解决API开发中的安全性挑战。文章首先介绍FastAPI的核心概念,然后深入安全机制实现,接着通过实际案例展示完整实现,最后讨论部署和监控策略。FastAPI: 现代、快速(高性能)的Python Web框架,用于构建API: 用于安全传输声明的开放标准OAuth2: 行业标准的授权协议CORS(跨源资源共享): 允许浏览器跨域请求的机制。
开源模型应用落地-解锁大语言模型的无限潜能
热门推荐
以微薄之力,予他人些许温暖.
01-11 2万+
1、您是否也在迫不及待地期待在AI时代中展示自己的能力? 2、您是否一直在研究如何使用开源模型? 3、您是否一直在寻找将AI与业务结合的方向? 4、您是否一直在寻找模型推理加速的方法? 5、您是否一直在努力整合来自互联网上零散的资料?
FastAPI安全机制:从OAuth2到JWT的魔法通关秘籍
https://blog.cmdragon.cn/
06-08 990
FastAPI安全机制基于 OAuth2 规范、JWT 和依赖注入系统三大核心组件,提供了标准化的授权框架和无状态的身份验证。OAuth2 密码流通过  CryptContext  进行密码哈希处理, OAuth2PasswordBearer  自动提取和验证 Bearer Token,JWT 令牌包含过期时间,确保服务端无需存储会话状态。依赖注入系统通过  Depends()  实现身份验证逻辑的解耦。典型请求流程包括 Token 验证、JWT 解码和用户验证,确保请求的合法性。
FastAPI使用详解
最新发布
zouyang920的博客
11-02 1258
你在 shell(终端)中就可以创建和使用环境变量,并不需要用到 Python: 2、在 Python 中读取环境变量 然后你可以调用这个 Python 程序: 3、特定程序设置环境变量 当你在 Python 工程中工作时,你可能会有必要用到一个虚拟环境(或类似的机制)来隔离你为每个工程安装的包。 也可以直接把代码复制到入口文件中main.py启动项目。 5、查询参数 但该异常将会被 unicorn_exception_handler 处理。接收到的错误信息清晰明了,HTTP 状态码为
FastAPI系列教程13:API的安全防护
GeekABC
05-03 1093
本节我们继续讨论HTTPS 强制、 CSRF防护、CORS跨域资源共享、 SQL注入防护等内容。
(03)fastapi的学习——安全机制的学习和应用
zyz博客
10-19 1185
FastAPI 安全机制() 简介 - 麦克煎蛋 - 博客园在系统安全、身份验证以及权限授权方面通常来说有各种各样的处理方式,但大多都比较复杂。在很多框架和系统里,涉及安全和身份验证的工作往往都比较繁琐,并且代码量也巨大。
Python FastAPI库【Web 框架】全面解析与实战指南
记录点滴
04-28 1469
FastAPI是一个现代化的高性能 Python Web 框架,专为构建API(应用程序编程接口)而设计。它以简洁的语法、强大的类型系统、异步支持及自动化文档生成能力著称,适用于开发高效、可扩展且易于维护的 Web 服务。detail="账户余额不足",
InternStudio大模型之路(十七):销冠大模型案例实战
weixin_56460049的博客
09-15 2831
Streamer-Sales 销冠 —— 卖货主播大模型是一个能够根据给定的商品特点从激发用户购买意愿角度出发进行商品解说的卖货主播大模型。以其独特的智能魅力,将彻底改变您的购物体验。该模型能深度理解商品特点,以生动、精准的语言为商品量身打造解说词,让每一件商品都焕发出诱人的光彩。无论是细节之处,还是整体效果,都能通过其细腻、独到的解说,激发用户的购买欲望。模型用xtuner在InternLM2的基础上指令微调而来,部署集成了 LMDeploy加速推理🚀,支持ASR 语音生成文字🎙️,支持。
[Python从零到壹] 七十七.图像识别及经典案例篇之目标检测入门普及和ImageAI对象检测详解
杨秀璋的专栏
04-28 1672
前文介绍了人脸检测的应用案例,通过OpenCV快速实现人脸检测。这篇文章将详细讲解目标检测基础知识,并通过ImageAI实现对象检测的经典案例。本文主要介绍目标检测原理,通过七个问题来普及什么是目标检测。然后利用ImageAI实现最简单的目标检测案例,加深读者的印象,本文提供的案例将为读者提供深入的理解,希望您喜欢。
[Python图像识别] 四十五.目标检测入门普及和ImageAI“傻瓜式”对象检测案例详解 (1)
杨秀璋的专栏
08-03 2万+
该系列文章是讲解Python OpenCV图像处理知识,前期主要讲解图像入门、OpenCV基础用法,中期讲解图像处理的各种算法,包括图像锐化算子、图像增强技术、图像分割等,后期结合深度学习研究图像识别、图像分类应用。上一篇文章是图像处理的最后一篇文章,写到这里,第一阶段的44篇Python图像处理就介绍完毕。接下来我们进入Python图像识别第二阶段,该部分主要以目标检测、图像识别以及深度学习相关图像分类为主,将会分享近50篇文章,感谢您一如至往的支持。希望文章对您有所帮助,如果有不足之处,还请海涵~
fastapi-security:将身份验证和授权实现为FastAPI依赖项
05-02
FastAPI安全 通过依赖关系向您的FastAPI应用程序添加身份验证和授权。 安装 pip install fastapi-security 文献资料 。
fastapi-jwt:通过使用JSON Web令牌(JWT)启用身份验证来保护FastAPI应用程序
02-16
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip install -r requirements.txt 运行应用程序: (venv)$ python main.py 在
推荐开源项目:FastAPI SSO
gitblog_00037的博客
06-09 634
推荐开源项目:FastAPI SSO FastAPI SSO 是一个基于 FastAPI 的插件,用于实现单一登录(Single Sign-On, SSO)功能,让你轻松集成包括Google、Facebook和Microsoft等在内的多个常见身份验证提供商。这个项目的目标是简化在后端实现“使用Google/Facebook/Microsoft登录”的按钮功能。 项目介绍 FastAPI SSO ...
FastAPI-SSO 项目教程
gitblog_00651的博客
09-03 925
FastAPI-SSO 项目教程 1. 项目的目录结构及介绍 FastAPI-SSO 项目的目录结构如下: fastapi-sso/ ├── fastapi_sso/ │ ├── __init__.py │ ├── sso.py │ ├── providers/ │ │ ├── __init__.py │ │ ├── google.py │ │ ├── face...
FastAPI-SSO 使用教程
gitblog_00725的博客
09-03 1137
FastAPI-SSO 使用教程 项目介绍 FastAPI-SSO 是一个基于 FastAPI 的单点登录(SSO)库,旨在简化在 FastAPI 应用中集成第三方认证服务的过程。它支持多种流行的身份提供商,如 Google、Facebook、GitHub 等,使得开发者能够轻松实现用户认证和授权。 项目快速启动 安装依赖 首先,确保你已经安装了 FastAPIFastAPI-SSO: pi...
fastapi jwt加密解密示例 encode decode
nongcunqq的博客
12-03 747
from jose import jwt encode_jwt = jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256') print(encode_jwt) decode_jwt = jwt.decode(encode_jwt, 'secret', algorithms='HS256') print(decode_jwt) 参考 https://pyjwt.readthedocs.io/en/stable/
【大模型应用开发-FastAPI框架】() Fastapi使用JWT实现鉴权
04-15 2413
随着Web应用程序的发展,用户身份验证和授权成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授权功能。FastAPI是一个基于Python的现代Web框架,它提供了简单易用的功能来处理身份验证和授权。本文将介绍如何在fastapi中使用jwt令牌进行身份验证和授权。随着Web应用程序的发展,用户身份验证和授权成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授权功能。FastAPI是一个基于Python的现代Web
FastAPIX 的 SSO 集成与身份验证
gitblog_00754的博客
08-19 686
FastAPIX 的 SSO 集成与身份验证 【免费下载链接】fastapix FastAPIX 是为 FastAPI 提供的基于 SQLAlchemy ORM 快速构建数据库操作的插件 项目地址: https://gitcode...
快速创建FastAPI应用:fastapi-code-generator教程
FastAPI 是一个现代、快速(高性能)的 Web 框架,用于构建 API,使用 Python 3.6+,基于标准 Python 类型提示。FastAPI 利用 Python 3.6+ 的类型提示,提供交互式 API 文档。它使用 Pydantic 和 Starlette 实现。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值