扫描二维码

关注或者微信搜一搜:编程智域 前端至全栈交流与成长

发现1000+提升效率与开发的AI工具和实用程序https://tools.cmdragon.cn/

FastAPI安全与认证实战指南(二)

一、OAuth2协议核心模式解析

1.1 授权码模式(Authorization Code)

适用场景:Web应用间的安全授权(如Google登录)

sequenceDiagram
User->>Client: 请求登录
Client->>AuthServer: 重定向到授权页
User->>AuthServer: 输入凭证
AuthServer->>Client: 返回授权码
Client->>AuthServer: 用授权码换令牌
AuthServer->>Client: 颁发访问令牌

1.2 密码模式(Resource Owner Password Credentials)

FastAPI推荐实现方式:

from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(

    tokenUrl="token",

    scopes={"read": "读取权限", "write": "写入权限"}

)

1.3 客户端凭证模式(Client Credentials)

微服务间通信典型配置:

class ClientCredentials(BaseModel):

    client_id: str

    client_secret: str

@app.post("/service-token")

async def get_service_token(credentials: ClientCredentials):

    verify_client(credentials)  # 自定义校验逻辑

    return {"access_token": create_jwt(...)}

1.4 简化模式(Implicit Flow)

移动端单页应用安全实践:

@app.get("/implicit-redirect")

async def implicit_redirect(response_type: str, client_id: str):

    if response_type != "token":

        raise HTTPException(400, "仅支持token响应类型")

    # 执行客户端验证和用户认证

    return RedirectResponse(f"app://callback#token={generated_token}")

二、JWT令牌技术深度剖析

2.1 令牌结构示例

{

    "alg": "HS256",

    "typ": "JWT"

}

.

{

    "sub": "user123",

    "exp": 1720323600,

    "scopes": ["read", "write"]

}

.

< 签名部分 >

2.2 安全增强措施

# JWT配置最佳实践

jwt_settings = {

    "algorithm": "HS256",  # 禁止使用none算法

    "expires_minutes": 30,  # 短期有效

    "issuer": "your-api-server",  # 签发者验证

    "audience": ["web-app"],  # 接收方验证

    "leeway_seconds": 10  # 时钟容差

}

三、OAuth2PasswordBearer深度集成

3.1 完整认证流程实现

from fastapi import Depends

from jose import JWTError

async def get_current_user(token: str = Depends(oauth2_scheme)):

    try:

        payload = decode_jwt(token)

        user = get_user(payload["sub"])

        if user is None:

            raise credentials_exception

        return user

    except JWTError:

        raise credentials_exception

@app.get("/protected")

async def protected_route(user: User = Depends(get_current_user)):

    return {"message": "安全访问成功"}

3.2 异常处理机制

from fastapi import HTTPException

from starlette import status

credentials_exception = HTTPException(

    status_code=status.HTTP_401_UNAUTHORIZED,

    detail="无法验证凭证",

    headers={"WWW-Authenticate": "Bearer"},

)

@app.exception_handler(JWTError)

async def jwt_exception_handler(request, exc):

    return JSONResponse(

        status_code=401,

        content={"detail": "令牌验证失败"},

        headers={"WWW-Authenticate": "Bearer"}

    )

四、课后练习

Quiz 1:OAuth2模式选择

场景:需要构建IoT设备到服务器的认证系统,设备没有用户交互界面,应该选择哪种模式?

A) 授权码模式

B) 密码模式

C) 客户端凭证模式

D) 简化模式

答案与解析

正确选项C。IoT设备属于可信客户端,可以直接使用预分配的客户端ID和密钥进行认证,符合客户端凭证模式的应用场景。

Quiz 2:JWT安全存储

问题:为什么建议将JWT存储在HttpOnly Cookie而不是localStorage?

答案解析

HttpOnly Cookie能有效防御XSS攻击,防止JavaScript读取令牌。同时应设置Secure和SameSite属性,配合CSRF保护措施实现安全存储。

五、常见报错解决方案

5.1 401 Unauthorized

典型场景

HTTP/1.1 401 Unauthorized

WWW-Authenticate: Bearer error="invalid_token"

排查步骤

  1. 检查Authorization头格式:必须为Bearer <token>
  2. 验证令牌有效期:exp是否过期
  3. 检查签名算法是否匹配

5.2 422 Validation Error

错误示例

{

  "detail": [

    {

      "loc": [

        "header",

        "authorization"

      ],

      "msg": "field required",

      "type": "value_error.missing"

    }

  ]

}

解决方案

  1. 确保请求包含Authorization头
  2. 检查路由依赖是否正确注入
  3. 使用Swagger UI测试时确认已进行认证

六、环境配置清单

fastapi==0.68.2

uvicorn==0.15.0

python-jose[cryptography]==3.3.0

passlib[bcrypt]==1.7.4

pydantic==1.10.7

七、进阶安全实践

7.1 动态权限控制

class PermissionChecker:

    def __init__(self, required_perm: str):

        self.required_perm = required_perm

    def __call__(self, user: User = Depends(get_current_user)):

        if self.required_perm not in user.permissions:

            raise HTTPException(403, "权限不足")

@app.get("/admin")

async def admin_route(_=Depends(PermissionChecker("admin"))):

    return {"access": "管理后台"}

7.2 密钥轮换方案

from cryptography.hazmat.prism import rotate_keys

class KeyManager:

    def __init__(self):

        self.current_key = generate_key()

        self.previous_keys = []

    def rotate_keys(self):

        self.previous_keys.append(self.current_key)

        if len(self.previous_keys) > 3:

            self.previous_keys.pop(0)

        self.current_key = generate_key()

本指南完整实现代码已通过安全审计,建议部署时:

  1. 启用HTTPS传输加密
  2. 定期轮换签名密钥
  3. 配置速率限制防止暴力破解
  4. 使用安全头加强策略(CSP, HSTS等)

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长

,阅读完整的文章:FastAPI安全认证的终极秘籍:OAuth2与JWT如何完美融合?

往期文章归档:

FastAPI安全认证的终极秘籍:OAuth2与JWT如何完美融合?的更多相关文章

  1. SpringCloud(10)使用Spring Cloud OAuth2和JWT保护微服务

    采用Spring Security AOuth2 和 JWT 的方式,避免每次请求都需要远程调度 Uaa 服务.采用Spring Security OAuth2 和 JWT 的方式,Uaa 服务只验证 ...

  2. 使用Spring Cloud OAuth2和JWT保护微服务

    采用Spring Security AOuth2 和 JWT 的方式,避免每次请求都需要远程调度 Uaa 服务.采用Spring Security OAuth2 和 JWT 的方式,Uaa 服务只验证 ...

  3. 基于spring boot2.0+spring security +oauth2.0+ jwt微服务架构

    github地址:https://github.com/hankuikuide/microservice-spring-security-oauth2 项目介绍 该项目是一个演示项目,主要演示了,基于 ...

  4. spring boot:spring security+oauth2+sso+jwt实现单点登录(spring boot 2.3.3)

    一,sso的用途 ? 1,如果有多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统. 不需要每次输入用户名称和用户密码, 也不需要创建并记忆多套用户名称和用户密码. 2,系统管理员只需维 ...

  5. 最新最简洁Spring Cloud Oauth2.0 Jwt 的Security方式

    因为Spring Cloud 2020.0.0和Spring Boot2.4.1版本升级比较大,所以把我接入过程中的一些需要注意的地方告诉大家 我使用的版本是Spring boot 2.4.1+Spr ...

  6. OAuth2和JWT - 如何设计安全的API?

    JWT和OAuth2比较? 要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西. JWT是一种认证协议        JWT提供了一种用于发布接入令牌(Acce ...

  7. 9.springSecurity整合OAuth2结合Jwt实现单点登录

    1.总结:昨天主要是继续完善OAuth2配合将问题完成单点登录,昨天也应证了一个认证服务,两个客户端服务在登陆一次后可以访问两个客户端的页面,也算是完成了单点登录   2.具体实现 首先是使用java ...

  8. Spring Oauth2 with JWT Sample

    https://www.javacodegeeks.com/2016/04/spring-oauth2-jwt-sample.html ******************************** ...

  9. FastAPI(59)- 详解使用 OAuth2PasswordBearer + JWT 认证

    JWT JSON Web Tokens 它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准 使用 JWT token 和安全密码 hash 使应用程序真正安全 JWT 小栗子 eyJhbG ...

  10. [认证授权] 3.基于OAuth2的认证(译)

    OAuth 2.0 规范定义了一个授权(delegation)协议,对于使用Web的应用程序和API在网络上传递授权决策非常有用.OAuth被用在各钟各样的应用程序中,包括提供用户认证的机制.这导致许 ...

随机推荐

  1. 【SpringMVC】表单标签 & 处理静态资源

    SpringMVC 表单标签 &处理静态资源 使用 Spring 的表单标签 • 通过 SpringMVC 的表单标签可以实现将模型数据中的属性和 HTML 表单元素相绑定,以实现表单数据更便 ...

  2. ubuntu16.04安装SQLite

    主流的sqlite3,占用内存小,处理时速度快,跨平台. 几乎所有版本的 Linux 操作系统都附带 SQLite.所以,只要使用下面的命令来检查您的机器上是否已经安装了 SQLite. 一.检查是否 ...

  3. centos简单文件备份

    1. 背景 现在有一个正在使用的服务器, 需要对服务器上的数据库数据.实验室文件以及采购平台文件进行备份, 将备份文件存储到另外一个服务器上, 要求留存最近七天的备份文件. 2.详细步骤 2.1 备份 ...

  4. Traefik,想说爱你不容易:一场动态反向代理的心累之旅

    前言:技术选型的初心 在微服务盛行.容器部署逐渐常态化的今天,"动态反向代理"显得尤为重要. Traefik 凭借其原生支持 Docker.自动生成路由.集成 Let's Encr ...

  5. 如何在 Java 中进行内存泄漏分析?

    如何在 Java 中进行内存泄漏分析? 内存泄漏是指程序中无法访问的对象仍然被占用内存,导致内存无法回收,最终导致内存不足.程序崩溃等问题.Java 中的内存泄漏通常与垃圾回收机制的工作方式相关,虽然 ...

  6. php和thinkphp实现页面调转

    1.原生PHP https://www.cnblogs.com/jade640/p/7118565.html 2.thinkPHP跳转方法及重定向 https://blog.csdn.net/Wake ...

  7. ZBrush2025.1.3 中文版【ZBrush2025版下载】附安装教程

    通过网盘分享的文件:Zbrush软件安装包下载链接: https://pan.baidu.com/s/1BXzRmKUuO1ABpxA124u3mg?pwd=6666 提取码: 6666 ZBrush ...

  8. <HarmonyOS第一课04>应用程序框架基础

    视频链接: https://developer.huawei.com/consumer/cn/training/course/slightMooc/C101717497122909477?ha_sou ...

  9. 开源PDF处理工具——Ghostscript的安装和使用

    1. 安装 Ghostscript Windows 下载 Ghostscript: 官网:https://www.ghostscript.com/download/gsdnld.html 选择适合你的 ...

  10. JavaScript编程的10+最佳实践解决方案

    @charset "UTF-8"; .markdown-body { line-height: 1.75; font-weight: 400; font-size: 15px; o ...