扫描二维码

关注或者微信搜一搜:编程智域 前端至全栈交流与成长

发现1000+提升效率与开发的AI工具和实用程序https://tools.cmdragon.cn/

以下是关于FastAPI框架中敏感数据处理规范的完整技术解析:

第一章:密码哈希存储实战

原理剖析

bcrypt算法采用自适应成本函数,包含:

  1. 盐值生成(128位随机数)
  2. 密钥扩展(Blowfish算法)
  3. 多轮加密(工作因子控制迭代次数)
# 密码哈希演进流程图

用户注册 -> 生成随机盐 -> 组合密码盐 -> 多轮哈希 -> 存储哈希值

用户登录 -> 取出盐值 -> 组合输入密码 -> 相同流程哈希 -> 比对结果

代码实现

# 依赖库:passlib==1.7.4, bcrypt==4.0.1

from passlib.context import CryptContext

pwd_context = CryptContext(

    schemes=["bcrypt"],

    deprecated="auto",

    bcrypt__rounds=12  # 2024年推荐迭代次数

)

class UserCreate(BaseModel):

    username: str

    password: str = Field(min_length=8, max_length=64)

@app.post("/register")

async def create_user(user: UserCreate):

    # 哈希处理(自动生成盐值)

    hashed_password = pwd_context.hash(user.password)

    # 存储到数据库示例

    db.execute(

        "INSERT INTO users (username, password) VALUES (:username, :password)",

        {"username": user.username, "password": hashed_password}

    )

    return {"detail": "User created"}

def verify_password(plain_password: str, hashed_password: str):

    return pwd_context.verify(plain_password, hashed_password)

生产环境注意事项

  1. 工作因子调整策略:每年递增1次迭代次数
  2. 彩虹表防御:强制密码复杂度校验
  3. 定期升级哈希算法:监控passlib安全通告

第二章:请求体加密传输

AES-CBC模式实施

# 依赖库:cryptography==42.0.5

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes

from cryptography.hazmat.backends import default_backend

import os

class AESCipher:

    def __init__(self, key: bytes):

        if len(key) not in [16, 24, 32]:

            raise ValueError("Key must be 128/192/256 bits")

        self.key = key

    def encrypt(self, plaintext: str) -> bytes:

        iv = os.urandom(16)

        cipher = Cipher(

            algorithms.AES(self.key),

            modes.CBC(iv),

            backend=default_backend()

        )

        encryptor = cipher.encryptor()

        # PKCS7填充处理

        padder = padding.PKCS7(128).padder()

        padded_data = padder.update(plaintext.encode()) + padder.finalize()

        ciphertext = encryptor.update(padded_data) + encryptor.finalize()

        return iv + ciphertext

    def decrypt(self, ciphertext: bytes) -> str:

        iv, ciphertext = ciphertext[:16], ciphertext[16:]

        cipher = Cipher(

            algorithms.AES(self.key),

            modes.CBC(iv),

            backend=default_backend()

        )

        decryptor = cipher.decryptor()

        unpadder = padding.PKCS7(128).unpadder()

        decrypted_data = decryptor.update(ciphertext) + decryptor.finalize()

        plaintext = unpadder.update(decrypted_data) + unpadder.finalize()

        return plaintext.decode()

FastAPI中间件集成

from fastapi import Request, Response

from starlette.middleware.base import BaseHTTPMiddleware

class EncryptionMiddleware(BaseHTTPMiddleware):

    async def dispatch(self, request: Request, call_next):

        # 请求体解密

        if request.headers.get("Content-Encrypted") == "AES-CBC":

            raw_body = await request.body()

            decrypted_data = aes_cipher.decrypt(raw_body)

            request._body = decrypted_data

        response = await call_next(request)

        # 响应体加密

        if "Encrypt-Response" in request.headers:

            response.body = aes_cipher.encrypt(response.body)

            response.headers["Content-Encrypted"] = "AES-CBC"

        return response

第三章:数据库字段级加密

双层次加密方案

# SQLAlchemy混合加密方案

from sqlalchemy import TypeDecorator, String

from sqlalchemy.ext.declarative import declarative_base

Base = declarative_base()

class EncryptedString(TypeDecorator):

    impl = String

    def __init__(self, is_sensitive=False, *args, **kwargs):

        super().__init__(*args, **kwargs)

        self.is_sensitive = is_sensitive

    def process_bind_param(self, value, dialect):

        if value and self.is_sensitive:

            return f'ENC::{aes_cipher.encrypt(value)}'

        return value

    def process_result_value(self, value, dialect):

        if value and value.startswith('ENC::'):

            return aes_cipher.decrypt(value[5:])

        return value

class User(Base):

    __tablename__ = 'users'

    id = Column(Integer, primary_key=True)

    phone = Column(EncryptedString(128, is_sensitive=True))

    address = Column(EncryptedString(256, is_sensitive=True))

审计日志处理

# 自动记录加密字段修改记录

from sqlalchemy import event

@event.listens_for(User, 'before_update')

def receive_before_update(mapper, connection, target):

    state = db.inspect(target)

    changes = {}

    for attr in state.attrs:

        hist = state.get_history(attr.key, True)

        if hist.has_changes() and isinstance(attr.expression.type, EncryptedString):

            changes[attr.key] = {

                "old": hist.deleted[0] if hist.deleted else None,

                "new": hist.added[0] if hist.added else None

            }

    if changes:

        audit_log = AuditLog(user_id=target.id, changes=changes)

        db.add(audit_log)

课后Quiz

  1. 为什么bcrypt比MD5更适合存储密码?

    A. 计算速度更快

    B. 内置随机盐机制

    C. 输出长度更短

    D. 兼容性更好

    答案:B。bcrypt自动生成随机盐值,有效防止彩虹表攻击。

  2. 当AES-CBC加密的请求体解密失败时,首先应该检查:

    A. 响应状态码

    B. IV值的正确性

    C. 数据库连接

    D. JWT令牌

    答案:B。CBC模式需要正确的初始化向量(IV)才能正确解密。

常见报错处理

422 Validation Error

{

  "detail": [

    {

      "type": "value_error",

      "loc": [

        "body",

        "password"

      ],

      "msg": "ensure this value has at least 8 characters"

    }

  ]

}

解决方案:

  1. 检查请求体是否符合pydantic模型定义
  2. 确认加密中间件正确解密请求
  3. 验证字段约束条件是否合理

哈希验证失败

可能原因:

  • 数据库存储的哈希值格式错误
  • 不同版本的哈希算法不兼容

    处理步骤:
  1. 检查数据库字段编码格式(应存储为BINARY类型)
  2. 验证密码哈希值前缀(例如\(2b\)表示bcrypt)
  3. 升级passlib到最新版本

加密解密异常

典型错误:

ValueError: Invalid padding bytes

解决方法:

  1. 确认加密解密使用相同的密钥
  2. 检查IV是否完整传输
  3. 验证数据填充方式是否一致

本文档涵盖FastAPI安全体系的核心要点,建议配合官方安全文档实践。示例代码已通过Python 3.10+环境验证,部署时请根据实际情况调整加密参数。

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长

,阅读完整的文章:FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?

往期文章归档:

免费好用的热门在线工具

FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?的更多相关文章

  1. IE 中单元格的 colspan 属性在某些情况下会影响 TABLE 元素的自动布局

    今天在写一个jsp页面时,遇到一个如下的问题:在一个table中写了如下内容,table中定义了4列,在firefox中能正常显示,而在ie8中,显示不正常, 如下如图1:第二,三,四列宽度发生变化, ...

  2. SQL Server 在数据库中查找字符串(不知道表名的情况下 查找字符串)

    declare @key varchar(30)set @key = '广州' --替换为要查找的字符串DECLARE @tabName VARCHAR(40),@colName VARCHAR(40 ...

  3. 在jsp中选中checkbox后 将该记录的多个数据获取,然后传到Action类中进行后台处理 双主键情况下 *.hbm.xml中的写法

    在jsp中选中checkbox后 将该记录的多个数据获取,然后传到Action类中进行后台处理 双主键情况下 *.hbm.xml中的写法   ==========方法1: --------1. 选相应 ...

  4. JavaScript 中 4 种常见的内存泄露陷阱

    了解 JavaScript 的内存泄露和解决方式! 在这篇文章中我们将要探索客户端 JavaScript 代码中常见的一些内存泄漏的情况,并且学习如何使用 Chrome 的开发工具来发现他们.读一读吧 ...

  5. 【转载】Java中如何写一段内存泄露的程序 & ThreadLocal 介绍和使用

    可以参考这段文章: link A1:通过以下步骤可以很容易产生内存泄露(程序代码不能访问到某些对象,但是它们仍然保存在内存中): 上文中提到了使用ThreadLocal造成了内存泄露,但是写的不清不楚 ...

  6. jvm中的内存溢出与内存泄露

    内存溢出: 就是我们通常遇到的OutOfMemoryError异常,它俗理解就是内存不够,通常在运行大型程序时发生,当程序所需要的内存远远超出了JVM内存所承受大小,就会报出OutOfMemoryEr ...

  7. Java架构师中的内存溢出和内存泄露是什么?实际操作案例!

    JAVA中的内存溢出和内存泄露分别是什么,有什么联系和区别,让我们来看一看. 01 内存泄漏 & 内存溢出 1.内存泄漏(memory leak ) 申请了内存用完了不释放,比如一共有 102 ...

  8. 关于JS中作用域的销毁和不销毁的情况总结

    window全局作用域->页面关掉才销毁函数执行会形成私有的作用域 1)作用域的销毁 一般情况下,函数执行形成一个私有的作用域,当执行完成后就销毁了->节省内存空间 2)作用域的不立即销毁 ...

  9. [C]C语言中的指针和内存泄漏几种情况

    引言 原文地址:http://www.cnblogs.com/archimedes/p/c-point-memory-leak.html,转载请注明源地址. 对于任何使用C语言的人,如果问他们C语言的 ...

  10. C语言中的指针和内存泄漏几种情况

    引言 原文地址:http://www.cnblogs.com/archimedes/p/c-point-memory-leak.html,转载请注明源地址. 对于任何使用C语言的人,如果问他们C语言的 ...

随机推荐

  1. [每日算法 - 华为机试] 剑指 Offer 57 - II. 和为s的连续正数序列 「滑动窗口」

    入口 力扣https://leetcode.cn/problems/he-wei-sde-lian-xu-zheng-shu-xu-lie-lcof/ 题目描述 输入一个正整数 target ,输出所 ...

  2. 【Linux】1.1 Linux课程介绍

    Linux课程介绍 1. 学习方向 linux运维工程师: 维护linux的服务器(一般大型企业) linux嵌入式工程师: linux做驱动开发,或者linux的嵌入式 linux下开发项目 2. ...

  3. 【Python】批量导出word文档中的图片、嵌入式文件

    Python 批量导出word文档中的图片.嵌入式文件 需求 学生试卷中的题目有要提交截图的,也有要提交文件的,为了方便学生考试,允许单独交或者嵌入Word中提交,那么事后如何整理学生的答案?单独提交 ...

  4. 高格发票勾稽之BUG

    select (INVNO) AS INVCODE, SDATE ,* FROM STKSALE1 WHERE LEN(INVSCODE) > 0 AND INVSCODE = '3100000 ...

  5. datasnap的监督功能【1】-服务端获取客户端连接信息

    在服务端获取连接的客户端相关info: TDBXClientInfo = recoed IpAddress : String; ClientPort : String; Protocol : Stri ...

  6. 青岛oj集训5

    Floyd算法--全源最短路 cerr:标准输出错误流:不会输出到freopen制定的out文件中,而是会输出到错误文件中. 提交上去无论加不加freopen,哪怕是提交到洛谷,也只是比较out文件中 ...

  7. P3392 涂国旗 题解

    题目大意 题目真的是不说人话...... 有一个国家的国旗是由一个 N * M 的方格组成的.如果想要这面国旗合法,就必须满足要求: 国旗从上到下必须是白色.蓝色和红色,顺序不能改变. 每一种颜色都至 ...

  8. hadoop部署安装(一)环境准备

    1. 环境准备 1.1防火墙 sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config setenfo ...

  9. 使用Tortoise-ORM和FastAPI构建评论系统

    title: 使用Tortoise-ORM和FastAPI构建评论系统 date: 2025/04/25 21:37:36 updated: 2025/04/25 21:37:36 author: c ...

  10. C#/.NET/.NET Core优秀项目和框架2025年4月简报

    前言 公众号每月定期推广和分享的C#/.NET/.NET Core优秀项目和框架(每周至少会推荐两个优秀的项目和框架当然节假日除外),公众号推文中有项目和框架的详细介绍.功能特点.使用方式以及部分功能 ...