如何在FastAPI中打造一个既安全又灵活的权限管理系统?

 title: 如何在FastAPI中打造一个既安全又灵活的权限管理系统?

date: 2025/06/16 08:17:05
updated: 2025/06/16 08:17:05
author: cmdragon

excerpt:
FastAPI权限系统通过依赖注入实现三级验证:身份认证、角色验证和权限校验。数据库模型包括用户、角色和权限注册表,支持动态管理权限。权限验证依赖项通过检查用户角色权限进行访问控制,动态路由权限注册允许实时添加权限。中间件实时检查用户权限,确保访问安全。系统处理常见报错如422 Unprocessable Entity和数据库连接超时,确保稳定运行。

categories:

  • 后端开发
  • FastAPI

tags:

  • FastAPI
  • 权限系统
  • 依赖注入
  • 数据库模型
  • 权限验证
  • 动态路由
  • 中间件
cmdragon_cn.png
cmdragon_cn.png

扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长

发现1000+提升效率与开发的AI工具和实用程序:https://tools.cmdragon.cn/

# 所需环境配置(运行前请安装)
# fastapi==0.95.0
# uvicorn==0.21.1
# python-multipart==0.0.6
# sqlalchemy==1.4.46
# pydantic==1.10.7
# passlib==1.7.4

1. 权限系统核心原理

权限系统的本质是请求过滤机制,FastAPI 通过依赖注入系统实现层级验证。当请求到达时,会经历:

  • 身份认证 → 角色验证 → 权限校验 三级验证
  • 每个层级都是独立的依赖项
  • 权限数据存储在关系型数据库,实现动态管理

2. 数据库模型设计

from sqlalchemy import Boolean, Column, ForeignKey, Integer, String
from sqlalchemy.orm import relationship
from databases import Base


class User(Base):
    __tablename__ = "users"
    id = Column(Integer, primary_key=True)
    username = Column(String(50), unique=True)
    hashed_password = Column(String(300))
    is_active = Column(Boolean, default=True)
    role_id = Column(Integer, ForeignKey("roles.id"))

    role = relationship("Role", back_populates="users")


class Role(Base):
    __tablename__ = "roles"
    id = Column(Integer, primary_key=True)
    name = Column(String(20), unique=True)
    permissions = Column(String(500))  # 存储逗号分隔的权限标识
    users = relationship("User", back_populates="role")


class PermissionRegistry(Base):
    __tablename__ = "permission_registry"
    id = Column(Integer, primary_key=True)
    endpoint = Column(String(100))  # 路由路径
    method = Column(String(10))  # HTTP方法
    perm_code = Column(String(50))  # 权限标识

3. 权限验证依赖项

from fastapi import Depends, HTTPException, status
from pydantic import BaseModel


class PermissionValidator:
    def __init__(self, required_perm: str):
        self.required_perm = required_perm

    async def __call__(self,
                       current_user: User = Depends(get_current_user),
                       db: Session = Depends(get_db)):
        # 获取角色关联的权限
        role_perms = current_user.role.permissions.split(",")

        # 验证权限是否存在
        if self.required_perm not in role_perms:
            raise HTTPException(
                status_code=status.HTTP_403_FORBIDDEN,
                detail="没有访问权限"
            )

        # 记录审计日志(示例)
        audit_log = AuditLog(
            user_id=current_user.id,
            action=f"访问需要 {self.required_perm} 权限的端点"
        )
        db.add(audit_log)
        db.commit()


# 使用示例
@app.get("/admin/dashboard")
async def admin_dashboard(
        perm_check: bool = Depends(PermissionValidator("admin_dashboard"))):
    return {"message": "欢迎来到管理面板"}

4. 动态路由权限注册

class PermissionRegistration(BaseModel):
    endpoint: str
    methods: List[str]
    perm_code: str


@app.post("/manage/permissions")
async def register_permission(
        perm_data: PermissionRegistration,
        db: Session = Depends(get_db)
):
    for method in perm_data.methods:
        existing = db.query(PermissionRegistry).filter_by(
            endpoint=perm_data.endpoint,
            method=method
        ).first()

        if not existing:
            new_perm = PermissionRegistry(
                endpoint=perm_data.endpoint,
                method=method,
                perm_code=perm_data.perm_code
            )
            db.add(new_perm)

    db.commit()
    return {"status": "权限注册成功"}

5. 实时权限检查中间件

@app.middleware("http")
async def dynamic_permission_check(request: Request, call_next):
    # 跳过非业务端点
    if request.url.path.startswith(("/docs", "/redoc")):
        return await call_next(request)

    # 查询权限注册表
    db = SessionLocal()
    perm_record = db.query(PermissionRegistry).filter_by(
        endpoint=request.url.path,
        method=request.method
    ).first()

    if perm_record:
        # 验证用户权限
        current_user = await get_current_user(request)
        if perm_record.perm_code not in current_user.role.permissions.split(","):
            return JSONResponse(
                status_code=403,
                content={"detail": "权限不足"}
            )

    response = await call_next(request)
    return response

课后Quiz

  1. 当用户访问需要"article.edit"权限的接口,但该用户的角色权限只有"article.view",系统会返回什么状态码?
    A) 401 B) 403 C) 404 D) 500

答案:B) 403。系统在权限验证阶段发现用户权限不足时,会返回403 Forbidden状态码。401表示未认证,404是资源不存在,500是服务器内部错误。

  1. 如何防止权限注册接口被未授权访问?
    A) 添加JWT认证依赖
    B) 限制仅管理员角色可访问
    C) 同时实现A和B
    D) 不需要保护这个接口

答案:C) 同时实现A和B。应该在路由定义中添加类似Depends(PermissionValidator(“perm_management”))的依赖,同时在用户角色系统中设置管理员专属权限。

常见报错处理

  1. 422 Unprocessable Entity
    原因:请求体不符合Pydantic模型验证
    解决:检查字段类型是否正确,添加缺失的必填字段

  2. AttributeError: ‘NoneType’ has no attribute ‘permissions’
    原因:用户角色未正确关联
    解决:检查数据库中的角色关联关系,确保每个用户都有对应的角色

  3. 数据库连接超时
    预防:使用SQLAlchemy的连接池配置

SQLALCHEMY_DATABASE_URL = "postgresql://user:pass@localhost/dbname?connect_timeout=10"
engine = create_engine(
    SQLALCHEMY_DATABASE_URL,
    pool_size=20,
    max_overflow=10,
    pool_timeout=30
)

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:如何在FastAPI中打造一个既安全又灵活的权限管理系统? | cmdragon’s Blog

往期文章归档:

评论

发表评论

此博客中的热门博文

深入理解 Nuxt.js 中的 app:error 钩子

图片
  title: 深入理解 Nuxt.js 中的 app:error 钩子 date: 2024/9/27 updated: 2024/9/27 author:  cmdragon excerpt: 摘要:本文深入讲解了Nuxt.js框架中的app:error钩子,介绍其在处理web应用中致命错误的重要作用、使用方法及实际应用场景。通过创建Nuxt项目、定义插件、触发错误与测试等步骤,演示了如何利用此钩子捕获错误、记录日志及提升用户体验,最后总结其关键要点包括错误处理、友好提示及监控集成。 categories: 前端开发 tags: Nuxt.js 错误处理 钩子函数 应用开发 前端框架 代码示例 用户体验 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 在开发复杂的 web 应用时,处理错误至关重要。Nuxt.js 提供了多种钩子来处理不同的场景,其中  app:error  钩子在发生致命错误时被调用。 目录 什么是 app:error 钩子? app:error 钩子的用途 如何使用 app:error 钩子 1. 创建 Nuxt 项目 2. 创建插件并实现钩子 3. 触发错误以测试 4. 查看效果 总结 什么是 app:error 钩子? app:error  钩子是在服务器端或客户端发生致命错误时被调用。这为开发者提供了一个 централизованный 的方式来捕获和处理错误。 特性 触发时机 :在任何地方发生未捕获的错误时。 可访问性 :可以访问错误对象,并允许开发者进行日志记录或用户友好的反馈。 app:error 钩子的用途 使用  app:error  钩子,你可以: 捕获并处理应用中的致命错误,避免影响用户体验。 记录错误信息以备后续分析,可以将错误信息发送到监控系统。 为用户提供友好的错误提示或重定向。 如何使用 app:error 钩子 1. 创建 Nuxt 项目 首先,创建一个新的 Nuxt 项目。使用以下命令: npx nuxi init nuxt-app-error-demo cd nuxt-app-error-demo npm install 2. 创建插件并实现钩子 在  plugins  文件夹中创建一个新的插件文...
阅读全文

ASCII编码的影响与作用:数字化时代的不可或缺之物

图片
一、ASCII编码的起源 ASCII(American Standard Code for Information Interchange)编码是一种最早用于将字符转换为数字的编码系统。它诞生于20世纪60年代,旨在解决计算机系统之间的字符传输和存储问题。在ASCII编码出现之前,不同的计算机系统使用不同的字符编码,导致字符在系统之间的传输和处理变得困难。 Ascii编码解码 | 一个覆盖广泛主题工具的高效在线平台(amd794.com) https://amd794.com/asciiencordec 二、ASCII编码解决了什么问题 ASCII编码的出现解决了字符传输和存储的标准化问题。它将字符映射为固定的7位二进制数,共计128个字符,包括英文字母、数字、标点符号和控制字符等。这种标准化的编码方式使得不同计算机系统之间可以准确地传输和处理字符数据,大大简化了字符处理的复杂性。 三、ASCII编码对现在的影响和作用 文本处理:ASCII编码在文本处理中起着重要作用,包括文件存储、数据传输、网络通信等。它成为了计算机系统中最基本的字符表示方式,被广泛应用于各种文本处理场景。 编程语言:ASCII编码是大多数编程语言中字符表示的基础。程序员可以使用ASCII编码来处理和操作文本数据,实现各种字符处理的功能。 数据库存储:ASCII编码可以用于将文本数据存储在数据库中,方便数据的检索和处理。它提供了一种标准的字符表示方式,使得数据的存储和查询更加方便和高效。 跨平台兼容性:ASCII编码是一种标准化的字符编码系统,可以在不同的计算机和操作系统中使用。这种跨平台兼容性使得文本数据能够在不同的环境中无缝传输和处理。 多语言处理:尽管ASCII编码只能表示英文字母、数字和一些基本符号,但它为后续的字符编码系统奠定了基础。ASCII编码的发展促使了后续的字符编码系统的出现,满足了多语言文本处理的需求。 四、ASCII编码的应用领域 电信通信:ASCII编码在电报和传真等通信方式中起着关键作用,实现了字符数据的传输和处理。 网络通信:ASCII编码是互联网通信的基础,HTTP协议、电子邮件和网页等都使用ASCII编码来传输和处理文本数据。 数据存储与处理:ASCII编码可以用于将文本数据存储在文件和数据库中,方便后续的数据检索和处理。 编程语言与脚本:ASCII编码是大多数编程...
阅读全文

Nuxt.js 路由管理:useRouter 方法与路由中间件应用

图片
  title: Nuxt.js 路由管理:useRouter 方法与路由中间件应用 date: 2024/7/28 updated: 2024/7/28 author:  cmdragon excerpt: 摘要:本文介绍了Nuxt 3中useRouter方法及其在路由管理和中间件应用中的功能。内容包括使用useRouter添加、移除路由,获取路由信息,基于History API的操作,导航守卫的实现,如定义匿名、命名及全局中间件,以及使用navigateTo和abortNavigation辅助函数。同时,还涉及Promise和错误处理,最后通过一个示例展示了useRouter的常见用法。 categories: 前端开发 tags: Nuxt.js 路由管理 useRouter 中间件 前端开发 Vue.js Web开发 扫描 二维码 关注或者微信搜一搜: 编程智域 前端至全栈交流与成长 一、Nuxt 中的  useRouter  方法 ` useRouter ` 是 Nuxt 3 提供的一个用于处理路由的重要工具。它让您能够在应用中方便地进行各种路由操作。比如添加路由、导航、路由守卫等。 二、基本功能 addRoute() :向路由实例添加新的路由。您可以提供  parentName  将新路由添加为现有路由的子路由。 示例: const router = use Router() ; router.add Route({ name : ' newRoute ', path : ' / newPath ', component : NewComponent }) ; removeRoute() :根据名称移除现有路由。 示例: router.remove Route(' newRoute ') ; getRoutes() :获取所有路由记录的完整列表。 示例: const routes = router.getRoutes() ; hasRoute() :检查是否存在具有给定名称的路由。 示例: const hasRoute = router.hasRoute( 'newRoute' ); resolve() :返回路由位置的规范化版本,并包含一个  href  属性...
阅读全文