FastAPI安全认证:从密码到令牌的魔法之旅

 title: FastAPI安全认证:从密码到令牌的魔法之旅

date: 2025/06/02 13:24:43
updated: 2025/06/02 13:24:43
author: cmdragon

excerpt:
在FastAPI中实现OAuth2密码流程的认证机制。通过创建令牌端点,用户可以使用用户名和密码获取JWT访问令牌。代码示例展示了如何使用CryptContext进行密码哈希处理,生成和验证JWT令牌,并实现安全路由保护。此外,还提供了JWT令牌的结构解析、常见报错解决方案以及安全增强建议,如使用HTTPS传输令牌和从环境变量读取密钥。最后,通过课后Quiz巩固了关键概念。

categories:

  • 后端开发
  • FastAPI

tags:

  • FastAPI
  • OAuth2
  • JWT
  • 安全认证
  • 密码哈希
  • 令牌校验
  • 访问控制
cmdragon_cn.png
cmdragon_cn.png

扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长

探索数千个预构建的 AI 应用,开启你的下一个伟大创意:https://tools.cmdragon.cn/

第一章:FastAPI安全认证核心实现

(注:根据写作规范要求,章节编号从第一章开始编排)

一、令牌端点(Token Endpoint)的创建

1.1 OAuth2密码流程原理

OAuth2密码流程(Password Grant)是直接通过用户名密码获取访问令牌的认证方式。类比演唱会验票流程:用户先到售票处(令牌端点)用身份证(凭证)换取门票(令牌),之后凭门票入场(访问资源)。

流程步骤:

  1. 客户端发送用户名密码到/token端点
  2. 服务器验证凭证有效性
  3. 生成包含用户身份和有效期的JWT令牌
  4. 返回访问令牌给客户端

1.2 FastAPI端点实现

from fastapi import APIRouter, Depends, HTTPException, status
from pydantic import BaseModel
from datetime import datetime, timedelta
from jose import JWTError, jwt
from passlib.context import CryptContext

router = APIRouter(tags=["Authentication"])

# 密码哈希配置(使用bcrypt算法)
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

# JWT配置(实际项目应从环境变量读取)
SECRET_KEY = "your-secret-key-keep-it-secret!"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30


# 用户模型
class UserCreate(BaseModel):
    username: str
    password: str


# 令牌响应模型
class Token(BaseModel):
    access_token: str
    token_type: str


@router.post("/token", response_model=Token)
async def login_for_access_token(form_data: UserCreate):
    # 用户验证(示例用静态数据,实际应查数据库)
    if form_data.username != "admin" or not pwd_context.verify(
            "secret",  # 数据库中存储的哈希密码
            form_data.password
    ):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="用户名或密码错误",
            headers={"WWW-Authenticate": "Bearer"},
        )

    # 生成JWT令牌
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": form_data.username},
        expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}


def create_access_token(data: dict, expires_delta: timedelta):
    to_encode = data.copy()
    expire = datetime.utcnow() + expires_delta
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt

代码解析:

  1. CryptContext 使用bcrypt算法进行密码哈希处理
  2. UserCreate模型规范了客户端请求的数据格式
  3. 密码验证使用verify()方法比对哈希值
  4. create_access_token生成带过期时间的JWT令牌

1.3 运行环境配置

# 安装依赖库(版本需严格对应)
fastapi==0.68.1
uvicorn==0.15.0
python-jose[cryptography]==3.3.0
passlib==1.7.4

二、访问令牌生成与校验

2.1 JWT令牌结构解析

示例令牌:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTY1OTA3MDQwMH0.3w7hJH4KZ6Q-Mje3Q2T3T6k4Vd6QyQ6Qk7v6Qw7q6Qk

分段说明:

  • Header:{"alg": "HS256", "typ": "JWT"}
  • Payload:{"sub": "admin", "exp": 1659070400}
  • Signature:使用密钥对前两部分的签名

2.2 令牌校验实现

from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="无法验证凭证",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
    except JWTError:
        raise credentials_exception

    # 此处应查询数据库验证用户存在性
    if username != "admin":
        raise credentials_exception
    return username


# 安全路由示例
@router.get("/protected")
async def protected_route(current_user: str = Depends(get_current_user)):
    return {"message": f"欢迎您, {current_user}"}

校验流程:

  1. 从请求头提取Bearer令牌
  2. 解码并验证JWT签名
  3. 检查令牌有效期
  4. 验证用户是否存在(示例简化处理)

三、课后Quiz

  1. 为什么在密码存储时要使用哈希而不是明文?
    A. 提高查询速度
    B. 防止数据泄露导致密码暴露
    C. 减少存储空间占用
    D. 方便密码找回

    答案:B。哈希处理后的密码即使泄露也无法逆向获取原始密码

  2. JWT中的签名部分主要作用是什么?
    A. 美化令牌格式
    B. 验证令牌内容未被篡改
    C. 加速令牌解析
    D. 支持多种加密算法

    答案:B。签名确保令牌在传输过程中未被修改

四、常见报错解决方案

问题1:401 Unauthorized

  • 现象{"detail":"Not authenticated"}
  • 原因:请求头缺少Authorization字段或格式错误
  • 解决
    curl -H "Authorization: Bearer your_token" http://localhost:8000/protected

问题2:422 Validation Error

  • 现象:请求体参数校验失败
  • 原因:未按UserCreate模型格式提交数据
  • 解决:检查请求是否包含username和password字段

问题3:403 Forbidden

  • 现象{"detail": "Invalid authentication credentials"}
  • 原因:令牌已过期或签名验证失败
  • 解决:重新获取有效令牌,检查密钥一致性

五、安全增强建议

  1. 生产环境必须
    • 通过HTTPS传输令牌
    • 使用环境变量存储密钥
    • 定期轮换加密密钥
  2. 推荐方案
    # 从环境变量读取密钥
import os
SECRET_KEY = os.getenv("JWT_SECRET_KEY")
if not SECRET_KEY:
    raise ValueError("Missing JWT_SECRET_KEY environment variable")

通过本章学习,开发者可以掌握FastAPI的OAuth2密码流程核心实现,建议结合数据库实现完整的用户管理系统。下一章将讲解权限控制与角色管理的高级应用。

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:FastAPI安全认证:从密码到令牌的魔法之旅 | cmdragon’s Blog

往期文章归档:

评论

发表评论

此博客中的热门博文

ASCII编码的影响与作用:数字化时代的不可或缺之物

图片
一、ASCII编码的起源 ASCII(American Standard Code for Information Interchange)编码是一种最早用于将字符转换为数字的编码系统。它诞生于20世纪60年代,旨在解决计算机系统之间的字符传输和存储问题。在ASCII编码出现之前,不同的计算机系统使用不同的字符编码,导致字符在系统之间的传输和处理变得困难。 Ascii编码解码 | 一个覆盖广泛主题工具的高效在线平台(amd794.com) https://amd794.com/asciiencordec 二、ASCII编码解决了什么问题 ASCII编码的出现解决了字符传输和存储的标准化问题。它将字符映射为固定的7位二进制数,共计128个字符,包括英文字母、数字、标点符号和控制字符等。这种标准化的编码方式使得不同计算机系统之间可以准确地传输和处理字符数据,大大简化了字符处理的复杂性。 三、ASCII编码对现在的影响和作用 文本处理:ASCII编码在文本处理中起着重要作用,包括文件存储、数据传输、网络通信等。它成为了计算机系统中最基本的字符表示方式,被广泛应用于各种文本处理场景。 编程语言:ASCII编码是大多数编程语言中字符表示的基础。程序员可以使用ASCII编码来处理和操作文本数据,实现各种字符处理的功能。 数据库存储:ASCII编码可以用于将文本数据存储在数据库中,方便数据的检索和处理。它提供了一种标准的字符表示方式,使得数据的存储和查询更加方便和高效。 跨平台兼容性:ASCII编码是一种标准化的字符编码系统,可以在不同的计算机和操作系统中使用。这种跨平台兼容性使得文本数据能够在不同的环境中无缝传输和处理。 多语言处理:尽管ASCII编码只能表示英文字母、数字和一些基本符号,但它为后续的字符编码系统奠定了基础。ASCII编码的发展促使了后续的字符编码系统的出现,满足了多语言文本处理的需求。 四、ASCII编码的应用领域 电信通信:ASCII编码在电报和传真等通信方式中起着关键作用,实现了字符数据的传输和处理。 网络通信:ASCII编码是互联网通信的基础,HTTP协议、电子邮件和网页等都使用ASCII编码来传输和处理文本数据。 数据存储与处理:ASCII编码可以用于将文本数据存储在文件和数据库中,方便后续的数据检索和处理。 编程语言与脚本:ASCII编码是大多数编程...
阅读全文

深入理解 Nuxt.js 中的 app:error 钩子

图片
  title: 深入理解 Nuxt.js 中的 app:error 钩子 date: 2024/9/27 updated: 2024/9/27 author:  cmdragon excerpt: 摘要:本文深入讲解了Nuxt.js框架中的app:error钩子,介绍其在处理web应用中致命错误的重要作用、使用方法及实际应用场景。通过创建Nuxt项目、定义插件、触发错误与测试等步骤,演示了如何利用此钩子捕获错误、记录日志及提升用户体验,最后总结其关键要点包括错误处理、友好提示及监控集成。 categories: 前端开发 tags: Nuxt.js 错误处理 钩子函数 应用开发 前端框架 代码示例 用户体验 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 在开发复杂的 web 应用时,处理错误至关重要。Nuxt.js 提供了多种钩子来处理不同的场景,其中  app:error  钩子在发生致命错误时被调用。 目录 什么是 app:error 钩子? app:error 钩子的用途 如何使用 app:error 钩子 1. 创建 Nuxt 项目 2. 创建插件并实现钩子 3. 触发错误以测试 4. 查看效果 总结 什么是 app:error 钩子? app:error  钩子是在服务器端或客户端发生致命错误时被调用。这为开发者提供了一个 централизованный 的方式来捕获和处理错误。 特性 触发时机 :在任何地方发生未捕获的错误时。 可访问性 :可以访问错误对象,并允许开发者进行日志记录或用户友好的反馈。 app:error 钩子的用途 使用  app:error  钩子,你可以: 捕获并处理应用中的致命错误,避免影响用户体验。 记录错误信息以备后续分析,可以将错误信息发送到监控系统。 为用户提供友好的错误提示或重定向。 如何使用 app:error 钩子 1. 创建 Nuxt 项目 首先,创建一个新的 Nuxt 项目。使用以下命令: npx nuxi init nuxt-app-error-demo cd nuxt-app-error-demo npm install 2. 创建插件并实现钩子 在  plugins  文件夹中创建一个新的插件文...
阅读全文

Nuxt.js 路由管理:useRouter 方法与路由中间件应用

图片
  title: Nuxt.js 路由管理:useRouter 方法与路由中间件应用 date: 2024/7/28 updated: 2024/7/28 author:  cmdragon excerpt: 摘要:本文介绍了Nuxt 3中useRouter方法及其在路由管理和中间件应用中的功能。内容包括使用useRouter添加、移除路由,获取路由信息,基于History API的操作,导航守卫的实现,如定义匿名、命名及全局中间件,以及使用navigateTo和abortNavigation辅助函数。同时,还涉及Promise和错误处理,最后通过一个示例展示了useRouter的常见用法。 categories: 前端开发 tags: Nuxt.js 路由管理 useRouter 中间件 前端开发 Vue.js Web开发 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 一、Nuxt 中的  useRouter  方法 ` useRouter ` 是 Nuxt 3 提供的一个用于处理路由的重要工具。它让您能够在应用中方便地进行各种路由操作。比如添加路由、导航、路由守卫等。 二、基本功能 addRoute() :向路由实例添加新的路由。您可以提供  parentName  将新路由添加为现有路由的子路由。 示例: const router = use Router() ; router.add Route({ name : ' newRoute ', path : ' / newPath ', component : NewComponent }) ; removeRoute() :根据名称移除现有路由。 示例: router.remove Route(' newRoute ') ; getRoutes() :获取所有路由记录的完整列表。 示例: const routes = router.getRoutes() ; hasRoute() :检查是否存在具有给定名称的路由。 示例: const hasRoute = router.hasRoute( 'newRoute' ); resolve() :返回路由位置的规范化版本,并包含一个  href  属性...
阅读全文