一文掌握异步web框架FastAPI(六)-- 安全(HTTP验证、Bearer Token、Session、OAuth2 和 OpenID Connect、HTTPS 和 TLS、速率限制)

最新推荐文章于 2025-06-12 19:09:28 发布
最新推荐文章于 2025-06-12 19:09:28 发布
阅读量1.8k 收藏 24
点赞数 31
CC 4.0 BY-SA版权
分类专栏: fastapi python 文章标签: 1024程序员节 fastapi python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38120851/article/details/143203894

 目录

 

九、安全

1、HTTP 基本身份验证(Basic Authentication)

2、Bearer Token

3、Session 管理

1)简单实现

2)当需要session验证的接口会有多个时,使用中间件来做验证。

3)当有大量接口,其中一些需要登录而另一些不需要时,可以使用FastAPI的依赖注入系统来管理这些接口的访问控制。

4、OAuth2 和 OpenID Connect在fastapi中的应用

1)OAuth2

2)OpenID Connect

5、HTTPS 和 TLS 加密

1)获取 SSL/TLS 证书

自签名证书生成(仅用于开发测试)

2)配置 FastAPI 使用 HTTPS

3)配置 TLS 加密

4)生产环境部署建议

6、Rate Limiting (速率限制)

九、安全

1、HTTP 基本身份验证(Basic Authentication)

这是最简单的身份验证形式之一,它要求客户端发送带有用户名和密码的 HTTP 头部。FastAPI 可以很容易地集成这种身份验证方式。使用 hashlib 对密码进行哈希处理以提高安全性。

from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials
from hashlib import sha256

app = FastAPI()
security = HTTPBasic()
# 假设我们存储的是密码的哈希值
STORED_USERNAME = "john"
STORED_PASSWORD_HASH = sha256("secret".encode()).hexdigest()


def get_current_username(credentials: HTTPBasicCredentials = Depends(security)):
    """获取当前用户名,并验证提供的凭据是否正确。"""
    correct_username = credentials.username == STORED_USERNAME
    password_hash = sha256(credentials.password.encode()).hexdigest()
    correct_password = password_hash == STORED_PASSWORD_HASH
    if not (correct_username and correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect user or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me")
def read_user_me(current_username: str = Depends(get_current_username)):
    """获取当前用户的用户名。"""
    return {"username": current_username}

请求:

import requests
from requests.auth import HTTPBasicAuth

# 定义服务器地址
BASE_URL = "http://127.0.0.1:8000"


def test_get_user_me():
    # 正确的凭据
    correct_credentials = HTTPBasicAuth('john', 'secret')
    response = requests.get(f"{BASE_URL}/users/me", auth=correct_credentials)
    print("Response with correct credentials:")
    print(response.status_code, response.json())
    # 错误的凭据
    incorrect_credentials = HTTPBasicAuth('john', 'wrongpassword')
    response = requests.get(f"{BASE_URL}/users/me", auth=incorrect_credentials)
    print("Response with incorrect credentials:")
    print(response.status_code, response.text)


if __name__ == "__main__":
    test_get_user_me()

2、Bearer Token

Bearer token 身份验证是另一种常见的身份验证方法,通常与 OAuth 2.0 结合使用。FastAPI 提供了内置的支持来处理 bearer tokens。

from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


# 假设我们有一个函数来验证 token 是否有效
def fake_decode_token(token):
    """模拟解码令牌的函数,检查令牌是否有效并返回用户信息"""
    if token == "validtoken":
        return {"username": "john", "scope": "admin"}
    else:
        return None


async def get_current_user(token: str = Depends(oauth2_scheme)):
    """获取当前用户,如果令牌无效则抛出未授权异常"""
    user = fake_decode_token(token)
    if user is None:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid token",
            headers={"WWW-Authenticate": "Bearer"},
        )
    return user


@app.get("/users/me")
def read_user_me(current_user=Depends(get_current_user)):
    """读取当前用户的信息"""
    return current_user

请求:

import requests

# 定义服务器地址
BASE_URL = "http://127.0.0.1:8000"


def test_get_user_me():
    # 正确的令牌
    valid_token = "validtoken"
    headers = {"Authorization": f"Bearer {valid_token}"}
    response = requests.get(f"{BASE_URL}/users/me", headers=headers)
    print("Response with valid token:")
    print(response.status_code, response.json())
    # 错误的令牌
    invalid_token = "invalidtoken"
    headers = {"Authorization": f"Bearer {invalid_token}"}
    response = requests.get(f"{BASE_URL}/users/me", headers=headers)
    print("Response with invalid token:")
    print(response.status_code, response.text)


if __name__ == "__main__":
    test_get_user_me()

3、Session 管理

1)简单实现
from fastapi import FastAPI, Request, HTTPException, status
from fastapi.responses import JSONResponse
from itsdangerous import URLSafeTimedSerializer

import hashlib
import os


def hash_password(password: str) -> str:
    # 生成随机盐
    salt = os.urandom(16)
    # 创建新的哈希对象
    hasher = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), salt, 100000)
    # 返回盐和哈希值的组合
    return salt.hex() + hasher.hex()


def verify_password(stored_password: str, provided_password: str) -> bool:
    # 从存储的密码中提取盐
    salt = bytes.fromhex(stored_password[:32])
    # 提取哈希值
    stored_hash = stored_password[32:]
    # 重新计算哈希值
    hasher = hashlib.pbkdf2_hmac('sha256', provided_password.encode('utf-8'), salt, 100000)
    # 比较哈希值
    return hasher.hex() == stored_hash


app = FastAPI()


serializer = URLSafeTimedSerializer("SECRET_KEY")
# 假设的用户数据库
fake_users_db = {
    "alice": {
        "username": "alice",
        "hashed_password": hash_password("secret_password")
    }
}


def authenticate_user(fake_db, username: str, password: str):
    user = fake_db.get(username)
    if not user or not verify_password(user["hashed_password"], password):
        return False
    return user


@app.post("/login")
async def login(request: Request):
    data = await request.json()
    username = data.get('username')
    password = data.get('password')
    user = authenticate_user(fake_users_db, username, password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    session_token = serializer.dumps(username)
    response = JSONResponse({"message": "Login successful"})
    response.set_cookie(key="session_token", value=session_token, httponly=True)
    return response


@app.get("/p
最低0.47元/天 解锁文章

200万优质内容无限畅学
24、保障 API 访问安全OAuth 2.0 与 OpenID Connect 实践
alpha的博客
06-30 30
本文详细介绍了如何通过 OAuth 2.0 OpenID Connect 实践保障 API 访问安全。内容涵盖边缘服务器与产品组合服务的代码变更、Spring Security 集成、细化访问控制、Swagger UI 集成以及测试流程实现。同时,还介绍了客户端凭证授予流程授权码授予流程的具体操作,以及如何使用访问令牌调用受保护的 API。最终通过测试脚本 Swagger UI 验证了系统的安全功能性。
fastapi身份认证,PyJWT生成token
2302_79777012的博客
02-29 561
我们首先下载PyJWT。
fastapihttps)+openssl+测试(双向校验)
u013739139的博客
03-09 1657
fastapi(双向校验)https)+openssl+测试
fastapi身份认证
fggdgh的博客
12-10 2918
fastapi OAuth2用户认证
Fastapi httpshttp接口方法说明
最新发布
weixin_43484696的博客
06-12 312
FastAPI 目前是一个现代、快速(高性能)的 Web 框架,用于构建 API,基于 Python 类型提示 Starlette 核心。主要常见的是https接口与http接口封装。首先区分一下https接口与http接口,https可能具备单向认证证书双向认证证书,更安全。启动路由时多携带了ssl_certfile证书ssl_keyfile密钥参数。3.https密钥生成的方法。
fastapihttp服务升级为https
码匀的博客
04-29 9164
fastapi 默认协议是http,这是一个不安全的协议,如果我们需要使用浏览器录音就不得不对此网站开启安全模式,开启安全模式的方法为,在浏览器中输入下面的地址: chrome://flags/#unsafely-treat-insecure-origin-as-secure 之后将我们要访问的网站添加进去重启浏览器即可。 但如果手机访问则无能为力了。 下面我们演示生成SSL证书,代码如下: from OpenSSL import crypto, SSL def generate_certifica
FastApi 基于PasswordBearer TokenOAuth2 .0认证
高压锅博客
06-18 1708
1. 获取usernamepassword 后台获取前台提交的usernamepassword,可以使用FastAPI安全实用性工具获取usernamepassword。 OAuth2规定客户端必需将usernamepassword字段作为表单数据发送(不可使用JSON)。而且规范了字段必须这样命名 from fastapi import FastAPI, Depends from fastapi.security import OAuth2PasswordRequestForm app =
fastapi-jwt:带有jwt演示的FastAPI用户身份验证模块
02-15
介绍 FastAPI + JWT + SQLAlchemy + SQLite(或MS SQL Server)演示。 该代码遵循的正式文档。 入门 查看部署在Azure上的自动生成的OpenAPI文档:https:// <APP> .azurewebsites.net / docs 如果是第一次运行该应用程序,则数据库中的users表为空。 为了能够登录使用该API,您可以向端点发送POST请求:https:// <APP> .azurewebsites.net / auth / users / init(带有空主体)。 这将创建在./configurations.py中定义的默认超级用户。 本地运行 克隆仓库$ git clone https://github.com/juveseason/fastapi-jwt.git 创建虚拟环境并激活$ cd fastapi
一文掌握异步web框架FastAPI(七)-- 安全(XSS CSRF 防护、安全的数据存储、环境变量管理、权限角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理)
qq_38120851的博客
10-24 1682
FastAPI安全,XSS CSRF 防护、安全的数据存储、环境变量管理、权限角色控制、审计日志、使用安全的随机数生成、API 文档保护、会话管理。
WHAT - 用户登录系列(三)- Bearer TokenOAuth 2.0、OIDC、PKCE
weixin_58540586的博客
07-25 1074
简单的令牌认证方式,适用于 API 认证。传输存储安全性要求高。OAuth 2.0授权框架,允许第三方应用获得资源访问权限。支持多种授权方式,如授权码、隐式、密码凭证客户端凭证。基于 OAuth 2.0 的身份层协议,用于用户认证。提供 ID Token 进行身份验证。PKCE增强的授权码流程,防止授权码拦截攻击。适用于公开客户端,如单页应用(SPA)。
通过Keycloak API理解OAuth2OpenID Connect
热门推荐
锐意工作室
01-16 1万+
文章目录通过Keycloak API理解OAuth2OpenID Connect前言OAuth2 介绍OAuth2核心概念OAuth2 核心数据JWTOAuth2 flowAuthorization Code Flow安装运行Keycloak配置Keycloak访问Keycloak新增Realm新增Client新增Role新增UserKeycloak配置列表测试调用Keycloak的APIKeycloak endpoints用Postman测试访问Keycloak endpoints获取Authoriz
FastAPI-Auth:使用FastAPIJWT的示例应用
05-03
快速API认证 使用FastAPIJWT的示例应用 virtualenv -p python3 venv source venv/bin/activate pip3 install -r requirements.txt mv config.yaml.example config.yaml gunicorn -w 1 -k uvicorn.workers.UvicornWorker api:app --bind=0.0.0.0:5002 需要外部用户管理,或使用以下命令生成密码 python3 -c "import bcrypt; print(bcrypt.hashpw('testtest'.encode('utf-8'), bcrypt.gensalt(10)).decode())" $2b$10$YbleoHiOWO.gTG/ToE1TAO9wGbQou5.u3bfbIEBbbqsx
fastapi-session:DSC VIT Vellore使用FastAPISQLAlchemy为FastAPI上的2CC会话制作了一个简单的REST API
04-22
FastAPI会话 2CC会话课程API 特征 使用SQLAlchemy的数据库连接 FastAPI服务器 依存关系 Python 3.7以上 点子 其他列在requirements.txt中 跑步 使用以下命令克隆仓库 git clone https://github.com/mdhishaamakhtar/fastapi-session 使用创建虚拟环境 sudo pip install virtualenv virtualenv env 激活virtualenv env \S cripts \a ctivate # for windows source env/bin/activate # for linux and mac 安装依赖项 pip install -r requirements.txt 运行项目 uvicorn main:app 贡献者 希萨姆·阿赫塔尔(
Python库 | fastapi-redis-session-0.1.5.tar.gz
04-08
资源分类:Python库 所属语言:Python 资源全名:fastapi-redis-session-0.1.5.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
fastapi_tutorial:FastAPI https教程
03-20
FastAPI教程 FastAPI教程 内容 main.py 〜 request_files.py processing_errors.py path_operation_configuration.py json_compatible_encoder.py body_updates.py 依赖/ security.py sql_app /
FastAPI——token验证
weixin_71560103的博客
12-12 1895
这里的APIResponse是我自己定义的一个函数,用来处理返回数据的,大家这里可以自行忽略,同时我这里也使用了md5加密的一个形式,在前后端交互中,前端也可以处理加密,后端也可以,这个可以大家自行沟通,并且我这里也只是提供一个逻辑而已 ,后续我们再讲一下token验证如何处理。然后我们再回到函数中,data为加密数据,是我们需要再登录时去处理的用户数据,然后expires_delta为过期时间,然后我们再回到我们的接口中去。这种方式来进行密钥的生成,规范的生成模式还是以官网的那种方式去生成。
【亲测免费】 FastAPI Sessions 使用教程
gitblog_00600的博客
09-02 1341
FastAPI Sessions 使用教程 项目介绍 FastAPI Sessions 是一个为 FastAPI 框架设计的会话管理库,旨在快速且方便地为 FastAPI 项目添加会话认证功能。该库支持依赖注入来保护路由,并且与 FastAPI 自动生成的文档兼容。FastAPI Sessions 的设计目标是用户友好可定制,适用于需要会话管理的 Web 应用。 项目快速启动 安装 FastAP...
【亲测免费】 FastAPI Sessions 使用指南
gitblog_00351的博客
09-02 621
FastAPI Sessions 使用指南 FastAPI Sessions 是一个专为 FastAPI 设计的即用型会话库,它简化了在 FastAPI 应用中实现会话管理认证的过程,同时保持高度的定制性与生俱来的开发者友好性。本指南将带您深入了解此项目的结构、启动机制以及配置方法。 1. 目录结构及介绍 FastAPI-Sessions 的典型项目结构通常包括源码文件、配置相关文件等,虽然具...
16.FastAPI session
chenhaiy的博客
01-18 7697
16.FastAPI sessionFastAPI中,要使用session,实际上是使用Starlette Session,Starlette Session是作为一个中间件存在的,所以需要安装Starlette Session。执行命令: pip install starlette-session 16.1使用Redis作为session存储 代码如下: from fastapi import FastAPI from redis import Redis from starlette
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值