FastAPI 与 OpenIddict 的微服务鉴权整合方案

最新推荐文章于 2025-07-09 15:07:03 发布
最新推荐文章于 2025-07-09 15:07:03 发布
阅读量503 收藏 5
点赞数 11
CC 4.0 BY-SA版权
分类专栏: python 文章标签: fastapi 微服务 架构 开源 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llyfe2006/article/details/149216002

架构概述

基于微服务的身份认证架构采用OAuth 2.0/OpenID Connect协议,OpenIddict作为认证服务器,FastAPI作为资源服务器。系统包含三个核心组件:认证服务、API网关和业务微服务。OpenIddict负责颁发令牌,FastAPI通过JWT验证访问权限。

技术栈选型
  • 认证服务器: OpenIddict 4.8(基于ASP.NET Core)
  • 资源服务器: FastAPI 0.95+(Python 3.10+)
  • 令牌格式: JWT with RSA256签名
  • 数据库: PostgreSQL 14用于存储客户端和令牌数据
  • 消息队列: Redis 7用于授权码流处理
认证服务设计

OpenIddict配置需启用授权码、客户端凭证和刷新令牌流程。关键配置项包括:

services.AddOpenIddict()
    .AddCore(options => options.UseEntityFrameworkCore().UseDbContext<AuthDbContext>())
    .AddServer(options => {
        options.SetTokenEndpointUris("/connect/token");
        options.SetAuthorizationEndpointUris("/connect/authorize");
        options.AllowAuthorizationCodeFlow().AllowClientCredentialsFlow();
        options.RegisterScopes("api1", "offline_access");
        options.AddDevelopmentEncryptionCertificate().AddDevelopmentSigningCertificate();
    })
    .AddValidation(options => options.UseLocalServer());

FastAPI 资源服务器实现

安装必需依赖:

pip install fastapi uvicorn python-jose[cryptography] passlib bcrypt

JWT验证中间件示例:

from fastapi import Depends, HTTPException
from fastapi.security import OAuth2AuthorizationCodeBearer
from jose import JWTError, jwt

oauth2_scheme = OAuth2AuthorizationCodeBearer(
    authorizationUrl="http://auth-server/connect/authorize",
    tokenUrl="http://auth-server/connect/token"
)

async def verify_token(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(
            token,
            key=public_key,  # 从认证服务获取的公钥
            algorithms=["RS256"],
            audience="api1"
        )
        return payload
    except JWTError:
        raise HTTPException(status_code=401, detail="Invalid token")

微服务间通信安全

服务到服务通信采用客户端凭证流程,需在OpenIddict注册机器客户端:

{
  "client_id": "service_account",
  "client_secret": "your-secret",
  "grant_types": ["client_credentials"],
  "scopes": ["api1"]
}

Python客户端实现示例:

import httpx

async def get_service_token():
    async with httpx.AsyncClient() as client:
        response = await client.post(
            "http://auth-server/connect/token",
            data={
                "grant_type": "client_credentials",
                "client_id": "service_account",
                "client_secret": "your-secret",
                "scope": "api1"
            }
        )
        return response.json()["access_token"]

权限控制设计

基于RBAC模型实现细粒度权限控制,OpenIddict scope与角色权限映射示例:

from fastapi import Security

def require_permission(permission: str):
    async def checker(payload: dict = Security(verify_token)):
        if permission not in payload.get("scope", "").split():
            raise HTTPException(status_code=403, detail="Insufficient permissions")
        return payload
    return checker

# 使用示例
@app.get("/admin")
async def admin_route(user: dict = Depends(require_permission("admin"))):
    return {"message": "Admin access granted"}

性能优化策略
  1. 令牌缓存: Redis缓存已验证的JWT,减少重复验证开销
  2. 公钥轮换: JWKS端点实现自动密钥轮换
  3. 批量验证: 对微服务批量请求采用令牌哈希校验

Redis缓存实现示例:

from redis import asyncio as aioredis

async def cached_verify_token(token: str):
    redis = aioredis.from_url("redis://localhost")
    cache_key = f"token:{hashlib.sha256(token.encode()).hexdigest()}"
    
    if await redis.exists(cache_key):
        return json.loads(await redis.get(cache_key))
    
    payload = await verify_token(token)
    await redis.setex(cache_key, 3600, json.dumps(payload))
    return payload

安全增强措施
  1. 令牌绑定: 实现DPoP机制防止令牌重放
  2. 审计日志: 记录所有令牌颁发和验证事件
  3. 令牌撤销: 实时检查Redis黑名单
部署架构

建议采用容器化部署方案:

# Auth服务
FROM mcr.microsoft.com/dotnet/sdk:7.0 AS auth-server
EXPOSE 5000
COPY --from=builder /app .
ENTRYPOINT ["dotnet", "AuthServer.dll"]

# FastAPI服务
FROM python:3.10-slim
EXPOSE 8000
COPY ./app /app
RUN pip install -r /app/requirements.txt
CMD ["uvicorn", "main:app", "--host", "0.0.0.0"]

监控指标

关键监控项包括:

  • 认证服务QPS和响应时间
  • JWT验证失败率
  • 令牌缓存命中率
  • 权限检查延迟

Prometheus监控示例配置:

scrape_configs:
  - job_name: 'auth'
    metrics_path: '/metrics'
    static_configs:
      - targets: ['auth-server:5000']
  - job_name: 'api'
    static_configs:
      - targets: ['api-service:8000']

FastAPI学习最后一天: Cors跨域和token
百锦再的博客
11-23 1万+
FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
构建高效的FastAPI微服务架构事件驱动模型:深入实践扩展
switch616的博客
02-13 1629
微服务架构是当今应用程序开发的一种流行设计模式,尤其适用于大型、分布式系统的开发。传统的单体架构相比,微服务架构将应用拆分成若干小的、独立的服务,每个服务都实现一个明确的业务功能。每个微服务都拥有独立的数据库、通信接口以及管理机制,可以独立部署、扩展、更新,极大地提高了开发效率和可维护性。在微服务架构中,每个服务都是独立的进程,能够通过网络接口进行通信。常见的通信方式包括 HTTP REST API、gRPC、消息队列等。
基于FastAPI实现简单的微服务API网关
liupras的博客
11-14 850
本文阐述了基于FastAPI实现一个API网关的详细步骤。这样未来可以不断的在服务端像搭积木一样添加各种服务。 我们即将实现下面的简单的微服务架构,目前它只实现了请求转发功能。
【粉丝福利社】利用FastAPI构建Python微服务
热门推荐
时光隧道
04-05 1万+
本书将向你详细介绍FastAPI框架及其组件,以及如何联合应用这些组件一些第三方工具来构建微服务应用程序。读者需要具备一些Python编程背景、API开发原理知识以及对创建企业级微服务应用程序背后原理的理解。这不仅仅是一本参考用书,它还提供一些代码蓝图,在阐释和演示各章主题的同时,还可以帮助开发人员解决实际应用问题。本书读者本书适用于想要学习如何使用FastAPI框架来实现微服务Python Web开发人员、高级Python用户和使用Flask或Django的后端开发人员。
SpringCloud+FastAPI 打造AI微服务
Pyc的博客
07-28 497
postman调用接口层,接口层再通过openfegin,调用注册在nacos上推理层的微服务。注册接口服务(java)和图像ocr服务(python)springcloud业务层。Nacos注册微服务fastapi推理层。
基于 FastAPI 的现代化微服务架构设计优化:从构建到部署
switch616的博客
01-17 1063
Kubernetes 通过 Pod、Service 和 Deployment 等资源管理微服务的生命周期。容器化 FastAPI 应用:首先需要将 FastAPI 应用容器化,通常使用 Docker 来构建镜像。# Dockerfile 示例COPY ./app创建 Kubernetes 部署文件:然后,使用 Kubernetes 的 Deployment 和 Service 来管理 FastAPI 应用的生命周期和网络访问。
一文掌握fastapi微服务开发
闲来无事,玩点AI,整点Python,且逍遥且快活
01-13 5623
一、概述 1.1 微服务 如果你是一名Python Web开发人员,那么肯定听说过微服务这个名词,并且希望通过Python来构建微服务。那么到底什么是微服务呢? 微服务(Microservice)是一种构建高可伸缩应用程序的架构,是一种将大型单一应用程序分解为专门针对特定服务、功能的单个应用程序的方法。举例来说,假如我们需要给自己的家进行装修,我们以前的做法就是找一家全包的装修公司将家里的水电、门窗、家具等全部交给这家装修公司,这家装修公司跟我们签订合同以后就统筹来安排所有的装修细节,我们...
构建高性能微服务平台:FastAPI 异步数据库实战指南
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
02-24 962
FastAPI 是一个基于 Python 3.6+ 类型注解构建的现代化 Web 框架,专注于构建高性能的 RESTful API。异步支持:内置 async/await 支持,利用 Starlette 作为底层服务器,实现高并发低延迟。自动生成文档:通过 OpenAPI 和 JSON Schema 自动生成交互式 API 文档(Swagger UI、ReDoc)。类型安全:基于 Python 类型注解和 Pydantic 模型实现数据验证和序列化,减少运行时错误。高性能。
使用 FastAPI 整合 gRPC 构建 Python 微服务
m0_63171455的博客
03-09 3683
为何选择了 FastAPI 和 gRPC? 我们团队内部早期使用的 Django 开发的海外金融产品,后续考虑转型到微服务架构,做了一些调研之后,决定选择 FastAPI 和 gRPC。Python编程学习资料点击免费领取 FastAPI 完全从异步IO思维整合出来的框架,在 Web 领域异步IO的意义比较大。基于 Encode 团队(开发过大名鼎鼎的 Django REST Framework)的新作品:Starlette gRPC 在 RPC 之块,Python 还有一个有名的框架 namek
架构师Django+FastAPI+uniapp+微服务秒杀系统教程
09-19
它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费的解决方案。 Django 可以使你的应用具有以下优点: 完备性 Django 遵循“功能完备”的理念,提供开发人员可能想要“开箱即用”的几乎所有...
架构师Django+FastAPI+uniapp+微服务秒杀系统
09-20
视频课程“架构师Django+FastAPI+uniapp+微服务秒杀系统”整合了Django和FastAPI的后端技术,以及uni-app的前端框架,并将微服务架构应用于秒杀系统的设计实现中,提供了从理论到实践的全面指导。课程通过理论讲解...
Python微服务开发:FastAPI高性能框架实践.pdf
04-16
无论是数据科学领域的数据分析可视化,还是 Web 开发中的网站搭建,Python 都能游刃有余。无论你是编程小白,还是想进阶的老手,这篇博文都能让你收获满满,快一起踏上 Python 编程的奇妙之旅!
python-microservice-fastapi:学习使用PythonFastAPI构建自己的微服务
02-05
学习使用PythonFastAPI构建自己的微服务 如何运行? 确保已安装docker和docker-compose 运行docker-compose up -d 有关电影服务文档的信息,请访问 ;有关演员表服务文档的信息,请访问 。
后端微服务基础架构Spring Cloud
rapid2011的专栏
07-07 891
选择。
MDC在微服务中落地思考
最新发布
不要让任何事情成为你不去学习的理由。
07-09 706
摘要: MDC(映射诊断上下文)是微服务架构中实现日志串联的关键机制,通过传递traceId等标识符关联跨服务、跨线程的日志。
Spring Cloud Config(微服务配置中心详解)
BUG糕手的博客
07-07 1093
Spring Cloud Config 是微服务架构中统一管理配置信息的分布式解决方案,支持从Git/SVN等远程仓库或本地系统集中存储配置。它提供多环境支持、动态刷新(@RefreshScope)和加密解密敏感信息等功能。搭建步骤包括:1)配置服务端(Config Server)连接远程仓库;2)客户端(Config Client)通过bootstrap.yml接入;3)按{application}-{profile}格式命名配置文件。
微服务化采集平台:可扩展性容错机制
ip16yun的博客
07-08 579
本文构建了一个微服务化的财经资讯采集平台,解决传统方法在数据分散、网页结构多变、实时更新等方面的痛点。平台采用代理机制和随机User-Agent应对反爬,通过模块化设计实现新闻采集、解析清洗、分类统计等功能,并集成异常重试机制确保稳定性。该系统为金融舆情分析和投资研究提供了高效的结构化数据支撑,具有解耦性强、扩展性好的特点,可进一步应用于NLP处理和风控建模等场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NetX行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值