JWT令牌如何在FastAPI中实现安全又高效的生成与验证？-CSDN博客

本文链接：https://blog.csdn.net/qq_42210428/article/details/148564055

title: JWT令牌如何在FastAPI中实现安全又高效的生成与验证？
date: 2025/06/10 09:02:35
updated: 2025/06/10 09:02:35
author: cmdragon

excerpt:
JWT（JSON Web Token）是一种用于安全传递声明信息的开放标准，由头部、载荷和签名三部分组成。在FastAPI中，JWT常用于用户身份认证、API授权和跨服务通信。通过python-jose库生成和验证JWT，核心步骤包括配置安全参数、生成访问令牌、实现登录接口和验证机制。令牌生成时需设置过期时间以防止长期盗用，验证时通过中间件检查令牌的有效性。此外，可通过刷新令牌机制更新访问令牌，确保系统的安全性和用户体验。

categories:

后端开发
FastAPI

tags:

JWT
FastAPI
令牌生成
令牌验证
身份认证
安全通信
无状态会话

扫描二维码)
关注或者微信搜一搜：编程智域前端至全栈交流与成长

探索数千个预构建的 AI 应用，开启你的下一个伟大创意：https://tools.cmdragon.cn/

第四章：JWT 令牌的生成与验证机制

1. JWT 基础概念

JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在双方之间安全地传递声明信息。它由三部分组成：

Header（头部）：描述算法和令牌类型
Payload（载荷）：携带用户数据（如用户ID）和声明（如过期时间）
Signature（签名）：用于验证令牌完整性的加密字符串

JWT 在 FastAPI 中的典型应用场景：

用户身份认证
API 接口授权
跨服务的安全通信
无状态会话管理

2. 环境准备

安装所需依赖库（推荐使用虚拟环境）：

pip install fastapi==0.95.2 python-jose[cryptography]==3.3.0 passlib==1.7.4 bcrypt==4.0.1 uvicorn==0.22.0

3. 生成 JWT 令牌

3.1 核心配置类

from datetime import datetime, timedelta
from jose import JWTError, jwt
from passlib.context import CryptContext
from pydantic import BaseModel

# 安全配置
SECRET_KEY = "your-secret-key-here"  # 生产环境应从环境变量获取
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

# 密码哈希配置
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: str | None = None