API安全大揭秘:认证与授权的双面舞会

 title: API安全大揭秘:认证与授权的双面舞会

date: 2025/05/28 12:14:35
updated: 2025/05/28 12:14:35
author: cmdragon

excerpt:
API安全的核心需求包括认证与授权机制。认证验证用户身份,如用户名密码登录;授权验证用户是否有权限执行特定操作,如管理员删除数据。典型安全威胁包括未授权访问、凭证泄露和权限提升。FastAPI通过OpenAPI规范支持OAuth2、HTTP Basic等安全方案,依赖注入系统实现灵活验证。OAuth2协议通过授权请求、授权许可、访问令牌等步骤确保安全访问。FastAPI实现OAuth2密码流程示例包括环境准备、核心代码实现和运行测试,确保用户身份验证和权限控制。

categories:

  • 后端开发
  • FastAPI

tags:

  • API安全
  • 认证与授权
  • OAuth2协议
  • FastAPI
  • 安全威胁
  • 依赖注入
  • 访问令牌
cmdragon_cn.png
cmdragon_cn.png

扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长

探索数千个预构建的 AI 应用,开启你的下一个伟大创意:https://tools.cmdragon.cn/

第一章:理解API安全的基本需求

为什么需要认证与授权机制

认证(Authentication)与授权(Authorization)的区别

  • 认证:验证用户身份的过程(例如:用户名密码登录)。

    类比:进入公司大楼时出示工牌(证明你是员工)

  • 授权:验证用户是否有权限执行特定操作(例如:管理员删除数据)。

    类比:不同工牌对应不同的门禁权限(普通员工不能进入机房)

典型安全威胁场景

  1. 未授权访问:攻击者直接调用/admin/delete-data接口删除数据
  2. 凭证泄露:用户密码在传输过程中被窃取
  3. 权限提升:普通用户越权访问管理员接口

FastAPI的安全设计原则

  • 内置支持OpenAPI规范的安全方案(OAuth2、HTTP Basic等)
  • 通过依赖注入系统实现灵活的安全验证逻辑
  • 自动生成交互式API文档中的安全测试界面

OAuth2协议在Web服务中的应用场景

OAuth2核心概念图解

+--------+                               +---------------+
|        |--(A) 授权请求 ->---------------|  资源所有者    |
|        |                               | (用户)       |
|        |<-(B) 授权许可 ----------------|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(C) 授权许可 ->---------------| 授权服务器     |
| 客户端  |                               | (签发令牌)   |
|        |<-(D) 访问令牌 ----------------|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(E) 访问令牌 ->---------------| 资源服务器     |
|        |                               | (存储数据)   |
|        |<-(F) 受保护资源 --------------|               |
+--------+                               +---------------+

FastAPI实现OAuth2密码流程示例

环境准备

# 安装依赖库(指定版本保证兼容性)
pip install fastapi==0.68.0 uvicorn==0.15.0 
pip install python-jose[cryptography]==3.3.0 
pip install passlib[bcrypt]==1.7.4

核心代码实现

from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import OAuth2PasswordBearer
from jose import JWTError, jwt
from passlib.context import CryptContext
from pydantic import BaseModel
from datetime import datetime, timedelta

# 安全配置常量
SECRET_KEY = "your-secret-key-here"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# 密码加密上下文
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# OAuth2方案声明
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


# 用户数据模型
class User(BaseModel):
    username: str
    disabled: bool = False


class UserInDB(User):
    hashed_password: str


# 令牌生成函数
def create_access_token(data: dict):
    to_encode = data.copy()
    expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)


# 认证依赖项
async def get_current_user(token: str = Depends(oauth2_scheme)):
    credential_exception = HTTPException(
        status_code=401,
        detail="无法验证凭证",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credential_exception
    except JWTError:
        raise credential_exception

    # 实际项目应查询数据库
    user = UserInDB(
        username=username,
        hashed_password="fakehash",
        disabled=False
    )
    if user.disabled:
        raise HTTPException(status_code=400, detail="用户已被禁用")
    return user


app = FastAPI()


@app.post("/token")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    # 验证用户名密码(示例硬编码)
    if form_data.username != "testuser" or form_data.password != "testpass":
        raise HTTPException(
            status_code=401,
            detail="用户名或密码错误",
            headers={"WWW-Authenticate": "Bearer"},
        )

    access_token = create_access_token(
        data={"sub": form_data.username}
    )
    return {"access_token": access_token, "token_type": "bearer"}


@app.get("/protected/")
async def read_protected_route(current_user: User = Depends(get_current_user)):
    return {"message": "已授权访问", "user": current_user.username}

运行与测试

uvicorn main:app --reload

打开浏览器访问 http://localhost:8000/docs,在Swagger界面中:

  1. 点击 /token 端点,输入测试凭证(username: testuser, password: testpass)
  2. 复制返回的access_token
  3. 点击 /protected/ 端点,在Authorization弹窗中输入 Bearer <your-token>

课后Quiz

Q1:认证与授权的根本区别是什么?
A) 认证确认身份,授权验证权限
B) 授权在前,认证在后
C) 两者是同义词

点击查看答案 正确答案:A 解析:认证是验证用户身份的过程(如登录),授权是验证该身份是否有权限执行特定操作(如访问管理员接口)。

Q2:OAuth2的授权码流程包含哪些主要步骤?
A) 客户端直接获取访问令牌
B) 用户授权 → 获取授权码 → 交换访问令牌
C) 用户名密码直接传递给资源服务器

点击查看答案 正确答案:B 解析:完整的授权码流程需要通过授权服务器中转授权码,避免客户端直接接触用户凭证。

常见报错解决方案

报错:422 Unprocessable Entity

{
  "detail": [
    {
      "loc": [
        "body",
        "password"
      ],
      "msg": "field required",
      "type": "value_error.missing"
    }
  ]
}

原因分析

  • 请求体缺少必填字段(如password字段)
  • 字段数据类型不匹配(例如数字传入了字符串)

解决方法

  1. 检查Swagger文档中的请求体模型
  2. 使用Postman验证请求体格式:
{
  "username": "testuser",
  "password": "testpass"
}
  1. 在Pydantic模型中使用...表示必填字段:
class LoginRequest(BaseModel):
    username: str
    password: str  # 必填字段

预防建议

  • 启用Pydantic的严格模式:
from pydantic import StrictStr


class LoginRequest(BaseModel):
    username: StrictStr
    password: StrictStr
  • 在路由中使用response_model_exclude_unset=True过滤未设置字段

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:API安全大揭秘:认证与授权的双面舞会 | cmdragon’s Blog

往期文章归档:

评论

发表评论

此博客中的热门博文

深入理解 Nuxt.js 中的 app:error 钩子

图片
  title: 深入理解 Nuxt.js 中的 app:error 钩子 date: 2024/9/27 updated: 2024/9/27 author:  cmdragon excerpt: 摘要:本文深入讲解了Nuxt.js框架中的app:error钩子,介绍其在处理web应用中致命错误的重要作用、使用方法及实际应用场景。通过创建Nuxt项目、定义插件、触发错误与测试等步骤,演示了如何利用此钩子捕获错误、记录日志及提升用户体验,最后总结其关键要点包括错误处理、友好提示及监控集成。 categories: 前端开发 tags: Nuxt.js 错误处理 钩子函数 应用开发 前端框架 代码示例 用户体验 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 在开发复杂的 web 应用时,处理错误至关重要。Nuxt.js 提供了多种钩子来处理不同的场景,其中  app:error  钩子在发生致命错误时被调用。 目录 什么是 app:error 钩子? app:error 钩子的用途 如何使用 app:error 钩子 1. 创建 Nuxt 项目 2. 创建插件并实现钩子 3. 触发错误以测试 4. 查看效果 总结 什么是 app:error 钩子? app:error  钩子是在服务器端或客户端发生致命错误时被调用。这为开发者提供了一个 централизованный 的方式来捕获和处理错误。 特性 触发时机 :在任何地方发生未捕获的错误时。 可访问性 :可以访问错误对象,并允许开发者进行日志记录或用户友好的反馈。 app:error 钩子的用途 使用  app:error  钩子,你可以: 捕获并处理应用中的致命错误,避免影响用户体验。 记录错误信息以备后续分析,可以将错误信息发送到监控系统。 为用户提供友好的错误提示或重定向。 如何使用 app:error 钩子 1. 创建 Nuxt 项目 首先,创建一个新的 Nuxt 项目。使用以下命令: npx nuxi init nuxt-app-error-demo cd nuxt-app-error-demo npm install 2. 创建插件并实现钩子 在  plugins  文件夹中创建一个新的插件文...
阅读全文

ASCII编码的影响与作用:数字化时代的不可或缺之物

图片
一、ASCII编码的起源 ASCII(American Standard Code for Information Interchange)编码是一种最早用于将字符转换为数字的编码系统。它诞生于20世纪60年代,旨在解决计算机系统之间的字符传输和存储问题。在ASCII编码出现之前,不同的计算机系统使用不同的字符编码,导致字符在系统之间的传输和处理变得困难。 Ascii编码解码 | 一个覆盖广泛主题工具的高效在线平台(amd794.com) https://amd794.com/asciiencordec 二、ASCII编码解决了什么问题 ASCII编码的出现解决了字符传输和存储的标准化问题。它将字符映射为固定的7位二进制数,共计128个字符,包括英文字母、数字、标点符号和控制字符等。这种标准化的编码方式使得不同计算机系统之间可以准确地传输和处理字符数据,大大简化了字符处理的复杂性。 三、ASCII编码对现在的影响和作用 文本处理:ASCII编码在文本处理中起着重要作用,包括文件存储、数据传输、网络通信等。它成为了计算机系统中最基本的字符表示方式,被广泛应用于各种文本处理场景。 编程语言:ASCII编码是大多数编程语言中字符表示的基础。程序员可以使用ASCII编码来处理和操作文本数据,实现各种字符处理的功能。 数据库存储:ASCII编码可以用于将文本数据存储在数据库中,方便数据的检索和处理。它提供了一种标准的字符表示方式,使得数据的存储和查询更加方便和高效。 跨平台兼容性:ASCII编码是一种标准化的字符编码系统,可以在不同的计算机和操作系统中使用。这种跨平台兼容性使得文本数据能够在不同的环境中无缝传输和处理。 多语言处理:尽管ASCII编码只能表示英文字母、数字和一些基本符号,但它为后续的字符编码系统奠定了基础。ASCII编码的发展促使了后续的字符编码系统的出现,满足了多语言文本处理的需求。 四、ASCII编码的应用领域 电信通信:ASCII编码在电报和传真等通信方式中起着关键作用,实现了字符数据的传输和处理。 网络通信:ASCII编码是互联网通信的基础,HTTP协议、电子邮件和网页等都使用ASCII编码来传输和处理文本数据。 数据存储与处理:ASCII编码可以用于将文本数据存储在文件和数据库中,方便后续的数据检索和处理。 编程语言与脚本:ASCII编码是大多数编程...
阅读全文

Nuxt.js 路由管理:useRouter 方法与路由中间件应用

图片
  title: Nuxt.js 路由管理:useRouter 方法与路由中间件应用 date: 2024/7/28 updated: 2024/7/28 author:  cmdragon excerpt: 摘要:本文介绍了Nuxt 3中useRouter方法及其在路由管理和中间件应用中的功能。内容包括使用useRouter添加、移除路由,获取路由信息,基于History API的操作,导航守卫的实现,如定义匿名、命名及全局中间件,以及使用navigateTo和abortNavigation辅助函数。同时,还涉及Promise和错误处理,最后通过一个示例展示了useRouter的常见用法。 categories: 前端开发 tags: Nuxt.js 路由管理 useRouter 中间件 前端开发 Vue.js Web开发 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 一、Nuxt 中的  useRouter  方法 ` useRouter ` 是 Nuxt 3 提供的一个用于处理路由的重要工具。它让您能够在应用中方便地进行各种路由操作。比如添加路由、导航、路由守卫等。 二、基本功能 addRoute() :向路由实例添加新的路由。您可以提供  parentName  将新路由添加为现有路由的子路由。 示例: const router = use Router() ; router.add Route({ name : ' newRoute ', path : ' / newPath ', component : NewComponent }) ; removeRoute() :根据名称移除现有路由。 示例: router.remove Route(' newRoute ') ; getRoutes() :获取所有路由记录的完整列表。 示例: const routes = router.getRoutes() ; hasRoute() :检查是否存在具有给定名称的路由。 示例: const hasRoute = router.hasRoute( 'newRoute' ); resolve() :返回路由位置的规范化版本,并包含一个  href  属性...
阅读全文