FastAPI处理OAuth2

原創 北邮郭大宝 2021-04-03 17:10

最近在重新学习FastAPI的文档,认证这部分相对独立,简单做个demo,基本都是官网的内容,稍作修改。

官网链接:https://fastapi.tiangolo.com/zh/tutorial/security/oauth2-jwt/

一、基本概念

JWT(Json Web Token),基本的概念可以在网上搜到很多,目前认证的主流都是采用token的方式。

一个典型的JWT的结构是xxxxx.yyyyy.zzzzz

其中第一部分是headers,第二部分payload,第三部分Signature。核心内容保存在payload中。payload中有一些固定参数名称的意义:

  • iss 【issuer】发布者的url地址

  • sub 【subject】该JWT所面向的用户,用于处理特定应用,不是常用的字段

  • aud 【audience】接受者的url地址

  • exp 【expiration】 该jwt销毁的时间;unix时间戳

  • nbf 【not before】 该jwt的使用时间不能早于该时间;unix时间戳

  • iat 【issued at】 该jwt的发布时间;unix 时间戳

  • jti 【JWT ID】 该jwt的唯一ID编号

当然也支持在payload中自定义参数。

二、demo

第一步,实现用户的密码加解密,模拟数据库返回用户信息

from passlib.context import CryptContext
from pydantic import BaseModel
from typing import Optional

# 所有用到的Schema信息
class Token(BaseModel):
    access_token: str
    token_type: str

class TokenData(BaseModel):
    username: Optional[str] = None

class User(BaseModel):
    username: str
    email: Optional[str] = None
    disabled: Optional[bool] = None

class UserInDB(User):
    hashed_password: str

# 模拟数据库,保存用户信息
# 其中hashed_password是加密过后的密码
fake_users_db = {
    "guodabao": {
        "username": "guodabao",
        "email": "[email protected]",
        "hashed_password": "$2b$12$HQfuwwNR857Pp4ySQDvXNOAZkblQuU4wBcsIJVxqsf3sYoiMf7W42",
        "disabled": False,
    }
}
# 通过passlib中CryptContext实现加密,解密
pwd_context = CryptContext(schemes=["bcrypt"]) # schemes指定加密方式

# 验证密码
def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)

# 获取密码
def get_password_hash(password):
    return pwd_context.hash(password)

# 模拟从数据库取用户数据
def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)

# 通过密码验证并返回用户信息
def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user

第二步,实现认证

from datetime import datetime, timedelta
from jose import JWTError, jwt
from starlette.status import HTTP_401_UNAUTHORIZED

# JTW需要的基本信息
# 通过openssl rand -hex 32 生成的秘钥
SECRET_KEY = "d6f72340d4afe840c036ba5d593f7fd36c3c811602f77abebdef8127b74ddce2" 
ALGORITHM = "HS256" # 加密签名算法
ACCESS_TOKEN_EXPIRE_MINUTES = 30 # token保留时长
TOKEN_URL = "access-token"  # 获取token的URL


# 创建JWT的核心逻辑
def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy() # JWT中payload中的信息
    if expires_delta:       # 设置token销毁时长
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})  # 更新payload中exp
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) # 加密,获得JTW
    return encoded_jwt

# 对token解密,还原user
async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])  # 解密
        username: str = payload.get("username") # 本例通过username作为Key
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user

第三步,实现API

from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl=TOKEN_URL)

async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user

@app.post("/access-token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"username": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}

@app.get("/users/me/", response_model=User)
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

@app.get("/users/me/items/")
async def read_own_items(current_user: User = Depends(get_current_active_user)):
    return [{"item_id": "Foo", "owner": current_user.username}]

@app.post("/password/")  # 获取fake_users_db中password的加密密码
def get_hashed_password(password: str):
    return get_password_hash(password)

三、完成代码

from datetime import datetime, timedelta
from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jose import JWTError, jwt
from passlib.context import CryptContext
from pydantic import BaseModel
from starlette.status import HTTP_401_UNAUTHORIZED
from typing import Optional


SECRET_KEY = "d6f72340d4afe840c036ba5d593f7fd36c3c811602f77abebdef8127b74ddce2"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
TOKEN_URL = "access-token"


fake_users_db = {
    "guodabao": {
        "username": "guodabao",
        "email": "[email protected]",
        "hashed_password": "$2b$12$HQfuwwNR857Pp4ySQDvXNOAZkblQuU4wBcsIJVxqsf3sYoiMf7W42",
        "disabled": False,
    }
}


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: Optional[str] = None


class User(BaseModel):
    username: str
    email: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str


pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

oauth2_scheme = OAuth2PasswordBearer(tokenUrl=TOKEN_URL)

app = FastAPI()


def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    return pwd_context.hash(password)


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user


def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("username")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users_db, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user


async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.post("/access-token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users_db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"username": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}


@app.get("/users/me/", response_model=User)
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


@app.get("/users/me/items/")
async def read_own_items(current_user: User = Depends(get_current_active_user)):
    return [{"item_id": "Foo", "owner": current_user.username}]


@app.post("/password/")
def get_hashed_password(password: str):
    return get_password_hash(password)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

基于uniapp+vue3自定义增强版table表格组件「兼容H5+小程序+App端」

vue3+uniapp多端自定義table組件|uniapp加強版綜合表格組件 uv3-table:一款基於uniapp+vue3跨端自定義手機端增強版表格組件。支持固定表頭/列、邊框、斑馬紋、單選/多選,自定義表頭/表體插槽、左右固定列陰

xiaoyan2017 2024-05-18 13:36:42

无业的损失

我無業了, 自從昨天開了99元一年大禮包阿里去的服務器後,突然又覺得可以用充的這99元網費,這下也有些可以折騰不那麼無聊的東西了。 一下子覺得自己損失大了,這麼着,要是去用這個網費打遊戲,許多自己愛好的動漫呀什麼的都變成不能隨便觸碰的東西的

永恆HEart 2024-05-18 13:35:21

SpringCloud解决feign调用token丢失问题

背景討論 feign請求 在微服務環境中,完成一個http請求,經常需要調用其他好幾個服務纔可以完成其功能,這種情況非常普遍,無法避免。那麼就需要服務之間的通過feignClient發起請求,獲取需要的 資源。 認證和鑑權 一般而言,微服務

Naylor 2024-05-18 13:31:31

[转帖]JVM内存配置最佳实践

  https://help.aliyun.com/zh/sae/use-cases/best-practices-for-jvm-heap-size-configuration       如果JVM堆空間大小設置過

濟南小老虎 2024-05-18 13:29:40

K8S下应用异常卡顿问题的分析与学习

K8S下應用異常卡頓問題的分析與學習 背景 週二自己在處理申威服務器的問題時, 被同事拉進一個羣聊. 告知客戶現場有一個特殊情況: 服務晚上重啓, 上午速度還可以, 但是到了下午就開始變的非常卡頓. 因爲當時正在車上也看不到具體信息

濟南小老虎 2024-05-18 13:29:40

从栈溢出到获取栈大小

從棧溢出到獲取棧大小 Author: ChrisZZ [email protected] Create Time: 2024-05-14 23:22:38 Update Time: 2024-05-18 12:02:52 目錄從棧溢出到獲

ChrisZZ 2024-05-18 13:27:30

vs2017无法下载安装文件,请检查internet连接

vs2017的安裝時報“無法下載安裝文件,請檢查internet連接”,重裝系統、更換網絡都不行。 解決方案: 點擊“網絡和internet設置”選項----》更改適配器-------》選中你連接的網絡, 選擇屬性------》intern

zhengwei_cq 2024-05-18 13:25:59

Mendix Page Template

添加新頁面時如果發現沒有系統自帶的模板使用即 ,只有如下圖的樣子. 可以看一下是不是有ui模板中禁止使用瞭如下圖, 官方文檔 Configure Module-Level Theme Settings | Mendix Documentat

望着天的蝸牛 2024-05-18 13:23:19

MongoDB基础知识梳理笔记

1、mongodb是什麼? MongoDB 是由 C++語言編寫的,是一個基於分佈式文件存儲的開源數據庫系統。 在高負載的情況下,添加更多的節點,可以保證服務器性能。 MongoDB 旨在給 WEB 應用提供可擴展的高性能數據存儲解決方案

武穆逸仙 2024-05-18 13:16:48

挑战程序设计竞赛 2.2章习题 POJ - 3617 Best Cow Line 贪心

FJ正準備帶着他的N頭奶牛(1 ≤ N ≤ 2,000)參加一年一度的“年度最佳農民”比賽。在這個比賽中,每個農民都會將他的奶牛排成一行,然後引導它們經過評委。 今年比賽的組織者採用了一種新的註冊方案:只需按照它們出現的順序註冊每頭奶牛的

等風 2024-05-18 13:15:38

Zorn's Lemma

Zorn's Lemma陳述如下:在偏序集\(P\)中,如果\(P\)的每一條鏈都有一個\(P\)中元素作爲上界,那麼\(P\)中存在極大元。 Proof 反證法,假如\(P\)中沒有極大元。那麼對於\(P\)的任意一條鏈\(C\subse

DennyQi 2024-05-18 13:13:17

字节面试:MySQL什么时候 锁表?如何防止锁表?

文章很長,且持續更新,建議收藏起來,慢慢讀!瘋狂創客圈總目錄 博客園版 爲您奉上珍貴的學習資源 : 免費贈送 :《尼恩Java面試寶典》 持續更新+ 史上最全 + 面試必備 2000頁+ 面試必備 + 大廠必備 +漲薪必備 免費贈送 :《尼

瘋狂創客圈 2024-05-18 13:10:27

OpenSpeedTest-Server局域网速度测试服务程序

OpenSpeedTest-Server局域網速度測試服務程序,局域網測速。  

runliuv 2024-05-18 13:09:07

.NET8连接SQL SERVER 2008 R2 报:证书链是由不受信任的颁发机构颁发的

一、 .NET8連接SQL SERVER 2008 R2  報:證書鏈是由不受信任的頒發機構頒發的 報錯內容: A connection was successfully established with the server, but t

runliuv 2024-05-18 13:09:07

python计算机视觉学习笔记——PIL库的用法

如果需要處理的原圖及代碼,請移步小編的GitHub地址   傳送門:請點擊我   如果點擊有誤:https://github.com/LeBron-Jian/ComputerVisionPractice   這個是之前的筆記,自己看到了就順

戰爭熱誠 2024-05-18 13:08:57