FastApi框架及鉴权机制

于 2025-07-09 09:11:35 发布
阅读量161 收藏 1
点赞数 6
CC 4.0 BY-SA版权
分类专栏: python 文章标签: fastapi python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llyfe2006/article/details/149215824

FastAPI框架体系介绍

FastAPI是一个现代、高性能的Python Web框架,专为构建API而设计。它基于Starlette和Pydantic库,提供了自动生成OpenAPI文档和JSON Schema的功能。FastAPI支持异步请求处理,性能接近NodeJS和Go。主要特点包括:

  • 类型安全:通过Python类型提示实现数据验证和自动转换
  • 自动文档生成:内置Swagger UI和ReDoc支持
  • 依赖注入系统:简化组件管理和重用
  • 标准化兼容:完全支持OpenAPI和JSON Schema

框架核心组件包括路由系统、请求/响应模型、依赖注入、后台任务、WebSocket支持等。典型应用场景包括微服务、机器学习API、物联网后端等。

FastAPI鉴权机制实现

FastAPI提供多种方式实现API鉴权,以下是常见方案:

OAuth2密码授权流程

使用OAuth2密码流程需要安装额外依赖:

pip install python-multipart


from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    # 验证用户名密码逻辑
    return {"access_token": "fake_token", "token_type": "bearer"}

@app.get("/items/")
async def read_items(token: str = Depends(oauth2_scheme)):
    return {"token": token}

JWT令牌验证

JSON Web Token是常见方案,需要安装PyJWT:

pip install pyjwt


from datetime import datetime, timedelta
import jwt
from fastapi import Depends, HTTPException, status
from fastapi.security import HTTPBearer

security = HTTPBearer()
SECRET_KEY = "your-secret-key"
ALGORITHM = "HS256"

def create_access_token(data: dict, expires_delta: timedelta = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

async def get_current_user(token: str = Depends(security)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except jwt.PyJWTError:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authentication credentials",
        )

API密钥验证

对于简单场景可以使用API密钥:

from fastapi import Security, Depends
from fastapi.security import APIKeyHeader

api_key_header = APIKeyHeader(name="X-API-Key")

async def get_api_key(api_key: str = Security(api_key_header)):
    if api_key != "valid-key":
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid API Key",
        )
    return api_key

@app.get("/protected/")
async def protected_route(key: str = Depends(get_api_key)):
    return {"message": "Access granted"}

最佳实践建议

  • 生产环境使用HTTPS加密所有通信
  • JWT令牌设置合理有效期并使用刷新令牌机制
  • 敏感数据不应存储在JWT中
  • 定期轮换加密密钥
  • 实现速率限制防止暴力破解
  • 使用权限系统进行细粒度访问控制

FastAPI的鉴权系统灵活且可扩展,开发者可以根据具体需求选择合适方案或组合多种机制。框架提供的安全工具类简化了常见安全模式的实现,同时保持高度可定制性。

FastAPI学习最后一天: Cors跨域和token
百锦再的博客
11-23 1万+
FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
FastAPI中使用JWT令牌进行身份验证和授的方法
ByteBuster的博客
10-04 1368
JWT(JSON Web Token)是一种用于在网络应用间传递声明的开放标准。它可以通过数字签名来验证数据的完整性,并使用密钥对数据进行加密。在FastAPI中,我们可以使用JWT令牌来进行用户身份验证和授,以确保只有授用户可以访问受限资源。以上是在FastAPI中使用JWT令牌进行身份验证和授的详细步骤和示例代码。通过使用JWT令牌,我们可以实现基于令牌的身份验证和授机制,以确保只有授用户可以访问受限资源。
fastApi用户认证token验证
2302_79777012的博客
03-30 448
【代码】fastApi用户认证token验证。
FastAPI中的token验证
weixin_71560103的博客
12-13 1610
在这里我们将错误类型进行了导入,其实应该还有一部分其他类型的错误,我这里只是简单使用了一下,然后指定token类型为str,并且导入Header,将从这里获取我们的token,然后并对token解码进行验证,这样,就完成了我们的token验证函数。在这里我们需要导入Depends,将我们的验证函数进行注入至接口,这样fastapi在前端进行请求的时候会自动运行这个函数verify_jwt,这样就是一个简单的token验证了。
【大模型应用开发-FastAPI框架】(十) Fastapi使用JWT实现
04-15 2208
随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web框架,它提供了简单易用的功能来处理身份验证和授。本文将介绍如何在fastapi中使用jwt令牌进行身份验证和授。随着Web应用程序的发展,用户身份验证和授成为了一个至关重要的部分。使用JWT(JSON Web Token)令牌可以方便地实现身份验证和授功能。FastAPI是一个基于Python的现代Web
深入了解 FastAPI :掌握前后端身份验证的最佳实践
09-13 2126
如果需要更高度定制的逻辑,可以编写自定义的中间件。这允许你完全控制过程,并在每个请求之前进行处理。FastAPI 提供了多种灵活的方法,使你能够选择最适合你的应用程序需求的方式。从基本 HTTP 认证到 OAuth2.0 和自定义中间件,FastAPI 为构建安全的 Web 应用程序提供了强大的工具和支持。
FastAPI 中间件详解:实现高性能 Web 应用的完整指南和实际案例
panzhixiang
11-14 1985
探索FastAPI中间件的强大功能,了解其工作原理,掌握如何通过中间件实现身份验证、请求限流、CORS等实际应用。本文提供源码解析和行业案例,助您打造高性能Web应用。
基于FastAPI使用JWT技术实现的OAuth2用户认证接口
liupras的博客
12-01 1241
本文阐述了如何基于FastAPI框架实现OAuth2用户认证,其中使用哈希算法对密码进行了加密,使用JWT持有令牌。 附带完整的代码,避免大家再次踩坑。
FastAPI入门
vbgesab的博客
05-24 2525
main.pytodos = ["写博客", "看电影", "玩游戏"]"""处理用户发送过来的 todolist 数据"""在这里我说一下为什么要将状态码设置为302,如果你不设置这个status_code,浏览器发送给后端的请求状态码为307,因为307的状态码是不能从post请求跳转到get请求,原因是post请求如果要跳转到get请求不通用,如果想进行跳转,需要将307更改为302。
FastAPI 实战:任务管理系统
2401_89221704的博客
12-26 726
任务管理系统 是一个基于 FastAPI 构建的 Web 应用程序,提供用户管理、项目管理、任务管理、甘特图预览以及 GitHub 登录等核心功能。项目集成了py-tools,旨在助力快速开发与交付。本项目的核心目标是帮助开发者深入理解并掌握 FastAPI 中的常用功能与最佳实践,包括中间件、自定义错误处理、依赖注入(Depends)、模块化路由等。同时,通过py-tools的集成与应用,简化业务开发流程,提升开发效率,全面了解其封装与实现细节。
QLoRA 精调模型如何部署上线?FastAPI 封装 × Docker 打包 × 多模型热切换实战指南
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
04-02 1984
很多人做到这一步已经训练出了一个挺不错的国产大模型微调版本,但随之而来的问题是:“我怎么把它做成一个 API?“怎么上线一套本地服务供团队调用?“要不要上 vLLM?用 Docker 好不好?我们先快速了解几种常见的部署方式,然后再进入实战。
fastapi-jwt:带有jwt演示的FastAPI用户身份验证模块
02-15
介绍 FastAPI + JWT + SQLAlchemy + SQLite(或MS SQL Server)演示。 该代码遵循的正式文档。 入门 查看部署在Azure上的自动生成的OpenAPI文档:https:// <APP> .azurewebsites.net / docs 如果是第一次运行该应用程序,则数据库中的users表为空。 为了能够登录和使用该API,您可以向端点发送POST请求:https:// <APP> .azurewebsites.net / auth / users / init(带有空主体)。 这将创建在./configurations.py中定义的默认超级用户。 本地运行 克隆仓库$ git clone https://github.com/juveseason/fastapi-jwt.git 创建虚拟环境并激活$ cd fastapi
fastapi限控制
小生测试的博客
08-26 1750
不过fastapi限控制,他要在请求头header上"Authorization":“Bearer 你的token”.OAuth2PasswordBearer会自动解析请求头这个参数的内容,解析不到就报限失败。将get_current_user参数换成request: Request,这样就能控制我们只传入token就好了。这个用法是写死固定的。使用fastapi原生自带的AUTH_SCHEMA 作为限控制。所以我们就放弃原生的fastapi限设置,用自己的限控制。
Python FastApi 实现签名验证
爱分享的小猿
10-02 1370
大家在写后台接口时,都想要设计一个安全的,稳定的架构来支持各种业务,此文章介绍的Token机制,和签名的验证。Token作为,签名作防篡改。
FastAPI 学习之路(二十二)依赖项
mr~li的博客
08-30 886
fastapi依赖
fastapi提供的接口,增加身份验证功能
sfakh的博客
04-17 1142
添加身份验证后的接口能够防止非法用户写入内容,能够节省一定的磁盘空间:main文件内容: 数据库的文件内容如下: 结果展示 可以通过交互式文档获得相应的语句,并且去执行post操作,实现保存用户传入内容落盘。 可以看到该api后面有一个锁的标志,即说明该api进行了身份验证的安全性操作,点击锁的标志,进行身份验证(在身份验证之前需要先创建一个合法的用户,点击register的api创建合法用户): 创建合法用户之后就可以登录,才能验证成功: 至此,用户已经成功登录,然后点击try it out获得其认证信
一文搞定fastapi+token认证机制(附全部源码)
qq_36587565的博客
09-13 8194
fastapi最近越发流行,比django轻便易用,尤其是对于后端编写,其轻便的优势越发明显,可是如果是需要和前端进行统一认证需自行设计认证能力,此文就将fastapi+token的实现代码全部展现,希望对你有帮助。http:1.1.1.1:21520:/hello/xxxxx无法访问了,headers设置access_token值,即需要认证才能运行。http:1.1.1.1:21520:/ 和 http:1.1.1.1:21520:/hello/xxxxx。此时就能正常通过token进行认证后访问了。
Python FastAPI框架实现一个基本的用户登录接口,并添加限功能
weixin_45319250的博客
03-22 4109
Python FastAPI框架实现一个基本的用户登录接口,并添加限功能
FastAPI从入门到实战(8)——一文弄懂Cookie、Session、Token与JWT
欢迎自九陌而来的你做客九陌斋!
11-28 2864
看到标题应该也能看出来本文讲的就是前端相关的内容了,也就是身份认证,指验证用户是否有系统的访问限,只要是web开发,这部分内容就是不可能不学的,很多面试也必问,所以本文就针对此主题详细记录一下其常见的几种方式。
api
最新发布
06-11
### API方法及实现 API是确保API安全性的重要手段,通过验证用户身份和限,防止未授访问。以下是几种常见的API方法及其实现方式: #### 1. HTTP Basic Authentication HTTP Basic Authentication是一种简单的认证机制,客户端在请求头中添加`Authorization: Basic <credentials>`字段,其中`<credentials>`是用户名和密码的Base64编码[^3]。 - **优点**:简单易用,适合对安全性要求不高的场景。 - **缺点**:明文传输用户名和密码(即使经过Base64编码),需要HTTPS加密传输。 ```python import base64 def basic_auth(username, password): credentials = f"{username}:{password}" encoded_credentials = base64.b64encode(credentials.encode()).decode() return f"Basic {encoded_credentials}" ``` #### 2. Token-Based Authentication (自定义Token) 开发者可以基于Token机制自行实现逻辑。Token通常包含用户信息并由服务端生成,客户端每次请求时携带Token以供验证[^3]。 - **优点**:灵活性高,开发者可完全掌控Token的设计与验证逻辑。 - **缺点**:需要额外设计Token的生成、验证和存储逻辑。 ```python import hashlib def generate_custom_token(user_id, secret_key): token = hashlib.sha256(f"{user_id}{secret_key}".encode()).hexdigest() return token ``` #### 3. JSON Web Token (JWT) JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。JWT由三部分组成:Header、Payload和Signature[^3]。 - **优点**:无状态,支持跨域,适合分布式系统。 - **缺点**:过期和刷新处理复杂[^4]。 ```python import jwt def create_jwt(payload, secret_key): token = jwt.encode(payload, secret_key, algorithm='HS256') return token def verify_jwt(token, secret_key): try: decoded = jwt.decode(token, secret_key, algorithms=['HS256']) return decoded except jwt.ExpiredSignatureError: return "Token expired" except jwt.InvalidTokenError: return "Invalid token" ``` #### 4. OAuth 2.0 OAuth 2.0是一种授框架,广泛用于第三方应用访问资源。它使用Access Token和Refresh Token来管理用户的访问限[^3]。 - **优点**:标准化,支持多种授模式,适用于复杂的限管理场景。 - **缺点**:实现复杂,需要维护多个Token。 ```python # 示例:OAuth 2.0 授码模式 from authlib.integrations.flask_client import OAuth oauth = OAuth(app) google = oauth.register( name='google', client_id='your-client-id', client_secret='your-client-secret', access_token_url='https://accounts.google.com/o/oauth2/token', authorize_url='https://accounts.google.com/o/oauth2/auth', api_base_url='https://www.googleapis.com/oauth2/v1/', ) ``` #### 5. API网关中的 在API网关中实现是一种推荐的方式,可以通过拦截器或过滤器统一处理所有需要的API请求[^2]。这种方式不仅简化了业务逻辑,还能够进行性能优化(如缓存)。 - **优点**:集中化管理,减少重复代码。 - **缺点**:需要额外部署和维护API网关。 ```python # 示例:使用FastAPI和中间件实现API网关 from fastapi import FastAPI, Request, Response, status from fastapi.middleware.cors import CORSMiddleware app = FastAPI() @app.middleware("http") async def check_api_key(request: Request, call_next): api_key = request.headers.get("X-API-Key") if api_key != "valid_api_key": return Response("Unauthorized", status_code=status.HTTP_401_UNAUTHORIZED) response = await call_next(request) return response ``` ### 数据传输过程中的安全性 除了外,还需要保证数据在传输过程中的安全性。建议使用HTTPS协议,并对敏感数据进行加密处理。 ```python # HTTPS 配置示例 from fastapi import FastAPI from uvicorn import run app = FastAPI() if __name__ == "__main__": run(app, host="0.0.0.0", port=8000, ssl_keyfile="key.pem", ssl_certfile="cert.pem") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NetX行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值