扫描二维码

关注或者微信搜一搜:编程智域 前端至全栈交流与成长

发现1000+提升效率与开发的AI工具和实用程序https://tools.cmdragon.cn/

以下是关于FastAPI框架中敏感数据处理规范的完整技术解析:

第一章:密码哈希存储实战

原理剖析

bcrypt算法采用自适应成本函数,包含:

  1. 盐值生成(128位随机数)
  2. 密钥扩展(Blowfish算法)
  3. 多轮加密(工作因子控制迭代次数)
# 密码哈希演进流程图

用户注册 -> 生成随机盐 -> 组合密码盐 -> 多轮哈希 -> 存储哈希值

用户登录 -> 取出盐值 -> 组合输入密码 -> 相同流程哈希 -> 比对结果

代码实现

# 依赖库:passlib==1.7.4, bcrypt==4.0.1

from passlib.context import CryptContext

pwd_context = CryptContext(

    schemes=["bcrypt"],

    deprecated="auto",

    bcrypt__rounds=12  # 2024年推荐迭代次数

)

class UserCreate(BaseModel):

    username: str

    password: str = Field(min_length=8, max_length=64)

@app.post("/register")

async def create_user(user: UserCreate):

    # 哈希处理(自动生成盐值)

    hashed_password = pwd_context.hash(user.password)

    # 存储到数据库示例

    db.execute(

        "INSERT INTO users (username, password) VALUES (:username, :password)",

        {"username": user.username, "password": hashed_password}

    )

    return {"detail": "User created"}

def verify_password(plain_password: str, hashed_password: str):

    return pwd_context.verify(plain_password, hashed_password)

生产环境注意事项

  1. 工作因子调整策略:每年递增1次迭代次数
  2. 彩虹表防御:强制密码复杂度校验
  3. 定期升级哈希算法:监控passlib安全通告

第二章:请求体加密传输

AES-CBC模式实施

# 依赖库:cryptography==42.0.5

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes

from cryptography.hazmat.backends import default_backend

import os

class AESCipher:

    def __init__(self, key: bytes):

        if len(key) not in [16, 24, 32]:

            raise ValueError("Key must be 128/192/256 bits")

        self.key = key

    def encrypt(self, plaintext: str) -> bytes:

        iv = os.urandom(16)

        cipher = Cipher(

            algorithms.AES(self.key),

            modes.CBC(iv),

            backend=default_backend()

        )

        encryptor = cipher.encryptor()

        # PKCS7填充处理

        padder = padding.PKCS7(128).padder()

        padded_data = padder.update(plaintext.encode()) + padder.finalize()

        ciphertext = encryptor.update(padded_data) + encryptor.finalize()

        return iv + ciphertext

    def decrypt(self, ciphertext: bytes) -> str:

        iv, ciphertext = ciphertext[:16], ciphertext[16:]

        cipher = Cipher(

            algorithms.AES(self.key),

            modes.CBC(iv),

            backend=default_backend()

        )

        decryptor = cipher.decryptor()

        unpadder = padding.PKCS7(128).unpadder()

        decrypted_data = decryptor.update(ciphertext) + decryptor.finalize()

        plaintext = unpadder.update(decrypted_data) + unpadder.finalize()

        return plaintext.decode()

FastAPI中间件集成

from fastapi import Request, Response

from starlette.middleware.base import BaseHTTPMiddleware

class EncryptionMiddleware(BaseHTTPMiddleware):

    async def dispatch(self, request: Request, call_next):

        # 请求体解密

        if request.headers.get("Content-Encrypted") == "AES-CBC":

            raw_body = await request.body()

            decrypted_data = aes_cipher.decrypt(raw_body)

            request._body = decrypted_data

        response = await call_next(request)

        # 响应体加密

        if "Encrypt-Response" in request.headers:

            response.body = aes_cipher.encrypt(response.body)

            response.headers["Content-Encrypted"] = "AES-CBC"

        return response

第三章:数据库字段级加密

双层次加密方案

# SQLAlchemy混合加密方案

from sqlalchemy import TypeDecorator, String

from sqlalchemy.ext.declarative import declarative_base

Base = declarative_base()

class EncryptedString(TypeDecorator):

    impl = String

    def __init__(self, is_sensitive=False, *args, **kwargs):

        super().__init__(*args, **kwargs)

        self.is_sensitive = is_sensitive

    def process_bind_param(self, value, dialect):

        if value and self.is_sensitive:

            return f'ENC::{aes_cipher.encrypt(value)}'

        return value

    def process_result_value(self, value, dialect):

        if value and value.startswith('ENC::'):

            return aes_cipher.decrypt(value[5:])

        return value

class User(Base):

    __tablename__ = 'users'

    id = Column(Integer, primary_key=True)

    phone = Column(EncryptedString(128, is_sensitive=True))

    address = Column(EncryptedString(256, is_sensitive=True))

审计日志处理

# 自动记录加密字段修改记录

from sqlalchemy import event

@event.listens_for(User, 'before_update')

def receive_before_update(mapper, connection, target):

    state = db.inspect(target)

    changes = {}

    for attr in state.attrs:

        hist = state.get_history(attr.key, True)

        if hist.has_changes() and isinstance(attr.expression.type, EncryptedString):

            changes[attr.key] = {

                "old": hist.deleted[0] if hist.deleted else None,

                "new": hist.added[0] if hist.added else None

            }

    if changes:

        audit_log = AuditLog(user_id=target.id, changes=changes)

        db.add(audit_log)

课后Quiz

  1. 为什么bcrypt比MD5更适合存储密码?

    A. 计算速度更快

    B. 内置随机盐机制

    C. 输出长度更短

    D. 兼容性更好

    答案:B。bcrypt自动生成随机盐值,有效防止彩虹表攻击。

  2. 当AES-CBC加密的请求体解密失败时,首先应该检查:

    A. 响应状态码

    B. IV值的正确性

    C. 数据库连接

    D. JWT令牌

    答案:B。CBC模式需要正确的初始化向量(IV)才能正确解密。

常见报错处理

422 Validation Error

{

  "detail": [

    {

      "type": "value_error",

      "loc": [

        "body",

        "password"

      ],

      "msg": "ensure this value has at least 8 characters"

    }

  ]

}

解决方案:

  1. 检查请求体是否符合pydantic模型定义
  2. 确认加密中间件正确解密请求
  3. 验证字段约束条件是否合理

哈希验证失败

可能原因:

  • 数据库存储的哈希值格式错误
  • 不同版本的哈希算法不兼容

    处理步骤:
  1. 检查数据库字段编码格式(应存储为BINARY类型)
  2. 验证密码哈希值前缀(例如\(2b\)表示bcrypt)
  3. 升级passlib到最新版本

加密解密异常

典型错误:

ValueError: Invalid padding bytes

解决方法:

  1. 确认加密解密使用相同的密钥
  2. 检查IV是否完整传输
  3. 验证数据填充方式是否一致

本文档涵盖FastAPI安全体系的核心要点,建议配合官方安全文档实践。示例代码已通过Python 3.10+环境验证,部署时请根据实际情况调整加密参数。

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长

,阅读完整的文章:FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?

往期文章归档:

免费好用的热门在线工具

FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?的更多相关文章

  1. IE 中单元格的 colspan 属性在某些情况下会影响 TABLE 元素的自动布局

    今天在写一个jsp页面时,遇到一个如下的问题:在一个table中写了如下内容,table中定义了4列,在firefox中能正常显示,而在ie8中,显示不正常, 如下如图1:第二,三,四列宽度发生变化, ...

  2. SQL Server 在数据库中查找字符串(不知道表名的情况下 查找字符串)

    declare @key varchar(30)set @key = '广州' --替换为要查找的字符串DECLARE @tabName VARCHAR(40),@colName VARCHAR(40 ...

  3. 在jsp中选中checkbox后 将该记录的多个数据获取,然后传到Action类中进行后台处理 双主键情况下 *.hbm.xml中的写法

    在jsp中选中checkbox后 将该记录的多个数据获取,然后传到Action类中进行后台处理 双主键情况下 *.hbm.xml中的写法   ==========方法1: --------1. 选相应 ...

  4. JavaScript 中 4 种常见的内存泄露陷阱

    了解 JavaScript 的内存泄露和解决方式! 在这篇文章中我们将要探索客户端 JavaScript 代码中常见的一些内存泄漏的情况,并且学习如何使用 Chrome 的开发工具来发现他们.读一读吧 ...

  5. 【转载】Java中如何写一段内存泄露的程序 & ThreadLocal 介绍和使用

    可以参考这段文章: link A1:通过以下步骤可以很容易产生内存泄露(程序代码不能访问到某些对象,但是它们仍然保存在内存中): 上文中提到了使用ThreadLocal造成了内存泄露,但是写的不清不楚 ...

  6. jvm中的内存溢出与内存泄露

    内存溢出: 就是我们通常遇到的OutOfMemoryError异常,它俗理解就是内存不够,通常在运行大型程序时发生,当程序所需要的内存远远超出了JVM内存所承受大小,就会报出OutOfMemoryEr ...

  7. Java架构师中的内存溢出和内存泄露是什么?实际操作案例!

    JAVA中的内存溢出和内存泄露分别是什么,有什么联系和区别,让我们来看一看. 01 内存泄漏 & 内存溢出 1.内存泄漏(memory leak ) 申请了内存用完了不释放,比如一共有 102 ...

  8. 关于JS中作用域的销毁和不销毁的情况总结

    window全局作用域->页面关掉才销毁函数执行会形成私有的作用域 1)作用域的销毁 一般情况下,函数执行形成一个私有的作用域,当执行完成后就销毁了->节省内存空间 2)作用域的不立即销毁 ...

  9. [C]C语言中的指针和内存泄漏几种情况

    引言 原文地址:http://www.cnblogs.com/archimedes/p/c-point-memory-leak.html,转载请注明源地址. 对于任何使用C语言的人,如果问他们C语言的 ...

  10. C语言中的指针和内存泄漏几种情况

    引言 原文地址:http://www.cnblogs.com/archimedes/p/c-point-memory-leak.html,转载请注明源地址. 对于任何使用C语言的人,如果问他们C语言的 ...

随机推荐

  1. Pydantic字段元数据指南:从基础到企业级文档增强

    title: Pydantic字段元数据指南:从基础到企业级文档增强 date: 2025/3/28 updated: 2025/3/28 author: cmdragon excerpt: 通过Py ...

  2. 写给自己的话,学院派 C 转 实用派Java

    本人计算机专业出身,学校学习过C / VC++. 写过很一般的代码, 刷过北大百炼 ACM 的部分试题.学过数据结(还可以),数据库(学的一般会用sql).用 c指针链表构建过二叉树实现过哈夫曼编码加 ...

  3. Linux centos8 VPS基本配置之SSH

    Linux centos8 VPS基本配置之SSH 最近在使用阿里云的时候,需要安装一些nodejs模块,但是总是安装失败,我已经使用了淘宝镜像cnpm加速,查看了具体原因是有github的依赖. 阿 ...

  4. 基于Lighthouse安装Docker

    1. 前言 在此之前小编通过各种方式介绍过自己通过服务器搭建的一些玩法,也写过一些教程,但是那些教程,现在回头来看,都是有些杂乱了,统一性不强.我就准备重新整理一下之前写的文章,并且准备重新开一个专题 ...

  5. 『Plotly实战指南』--直方图绘制与应用

    在数据科学的世界里,直方图是一种不可或缺的可视化工具,它以其简洁而直观的方式,揭示了数据的内在规律,为数据分析和决策提供了有力支持. 它能够帮助我们快速识别异常值,并为统计推断提供有力支撑. 无论是对 ...

  6. 神级辅助工具,解决GPT-SoVITS配音发音纠正和逐句优化

    即使地表最强AI配音也无法自动识别360应配音成三百六十还是三六零,在长文配音中很难一次满意,总会因为个别几句配音不理想而毁掉整个配音成果. 在GPT-SoVITS配音中,自动把长文章拆分成段落或长句 ...

  7. 🎀windows-剪切板

    简介 Windows 剪贴板是一个临时存储区域,它允许用户在不同应用程序之间复制和粘贴文本.图像和其他类型的数据.从 Windows 10 开始,微软引入了一个改进的剪贴板功能,称为剪贴板历史记录,它 ...

  8. MaxKB 开启模型联网搜索

    前言 模型联网搜索是当前大语言模型(LLM)领域的重要技术方向,其核心在于通过结合互联网实时数据与模型推理能力,突破预训练数据的时间限制,提供更精准.动态的回答. 核心应用场景 实时信息补充 例如查询 ...

  9. [笔记]关于JavaScript定时器如何清除和重启

    定时器的清除和重启方法: // var t=setInterval(fun1,500) //fun1是你的函数 var fun1=function(){ //写入你的函数; } clearInterv ...

  10. 安装debian12和win11双系统

    安装环境:微星主板,AMD CPU 5700G 使用rfues制作分别制作win启动盘(可以在i tell you下载)和debian12(清华源下载较快)启动盘 先安装windows: 主板设置U盘 ...