2. 程式人生 > 其它 >FastAPI安全系列(一) 基於Password和Bearer Token的OAuth2 .0認證

FastAPI安全系列(一) 基於Password和Bearer Token的OAuth2 .0認證

阿新 發佈:2021-06-10

一、獲取username和password

 後臺獲取前臺提交的username和password,可以使用FastAPI的安全實用性工具獲取username和password。

 OAuth2規定客戶端必需將username和password欄位作為表單資料傳送(不可使用JSON)。而且規範了欄位必須這樣命名。

from fastapi import FastAPI, Depends
from fastapi.security import OAuth2PasswordRequestForm

app = FastAPI()


@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm =
 
 Depends()):
    pass

OAuth2PasswordRequestForm是一個類依賴項,聲明瞭如下的請求表單:

  • username
  • password
  • 可選scope欄位,是一個由空格分隔的字串組成的大字串
  • 可選的grant_type欄位
  • 可選的client_id欄位
  • 可選的 client_secret欄位

現在使用表單中的username從(偽)資料庫中獲取使用者資料,如果沒有這個使用者就返回一個錯誤。若是獲取到這個使用者,先進行Pydantic UserInDB模型,然後進行密碼密文校驗。

from fastapi import FastAPI, Depends, HTTPException, status

 
from fastapi.security import OAuth2PasswordRequestForm
from pydantic import BaseModel
from typing import Optional

app = FastAPI()

# 偽資料庫
fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "[email protected]",
        "hashed_password
 
": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "[email protected]",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}


def fake_hash_password(password: str):
    return "fakehashed" + password


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str


@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_dict = fake_users_db.get(form_data.username)  # 從資料庫中取出使用者資訊
    if not user_dict:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password!")
    user = UserInDB(**user_dict)  # 進行使用者模型校驗
    hashed_password = fake_hash_password(form_data.password)  # 將表單密碼進行hash加密
    if not hashed_password == user.hashed_password:  # 表單加密後的密碼與資料庫中的密碼進行比對
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password!")
    return {"access_token": user.username, "token_type": "bearer"}

最後返回一個JSON資料的token令牌,該JSON物件包含:

  • token_type 因為例項中使用了Bearer令牌,所以令牌型別為Bearer
  • access_token 令牌字串

二、獲取活躍使用者資訊

這裡已經完成了令牌的獲取功能,與之前的獲取當前使用者的功能進行合併:

from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from pydantic import BaseModel
from typing import Optional

app = FastAPI()

oauth2_schema = OAuth2PasswordBearer(tokenUrl="/token") # 執行生成token的地址

# 偽資料庫
fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "[email protected]",
        "hashed_password": "fakehashedsecret",
        "disabled": False,
    },
    "alice": {
        "username": "alice",
        "full_name": "Alice Wonderson",
        "email": "[email protected]",
        "hashed_password": "fakehashedsecret2",
        "disabled": True,
    },
}


def fake_hash_password(password: str):
    return "fakehashed" + password


class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None


class UserInDB(User):
    hashed_password: str


@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_dict = fake_users_db.get(form_data.username)  # 從資料庫中取出使用者資訊
    if not user_dict:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password!")
    user = UserInDB(**user_dict)  # 進行使用者模型校驗
    hashed_password = fake_hash_password(form_data.password)  # 將表單密碼進行hash加密
    if not hashed_password == user.hashed_password:  # 表單加密後的密碼與資料庫中的密碼進行比對
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Incorrect username or password!")
    return {"access_token": user.username, "token_type": "bearer"}


def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)


def fake_decode_token(token: str):
    user = get_user(fake_users_db, token)
    return user


async def get_current_user(token: str = Depends(oauth2_schema)):
    user = fake_decode_token(token)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid authenticate credentials",
            headers={"WWW-Authentiacate": "Bearer"}
        )
    return user


async def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=status.HTTP_400_BAD_REQUEST, detail="Inactive user")
    return current_user


@app.get("/users/me")
async def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user

在生成token的基礎上進行活躍使用者資訊的獲取:

  • 首先需要將生成token的地址進行指向實際生成token的路徑操作函式
  • 獲取活躍使用者請求時就會去獲取認證的token
  • 一旦獲取到token就與正常的API請求一樣

具體的表現是在互動文件中:

  • 先點選右上角的Authorize按鈕進行認證,此時後臺會生成一個JSON物件,內含access_token欄位
  • 前臺獲取到 這個access_token,將其存到某處
  • 點選下面的路徑操作,如獲取活躍使用者的API,會在請求頭中攜帶該token進行認證,以及獲取相應的使用者資訊

相關推薦

FastAPI安全系列() 基於PasswordBearer Token的OAuth2 .0認證

、獲取usernamepassword  後臺獲取前臺提交的usernamepassword,可以使用FastAPI安全實用性工具獲取usernamepassword

FastAPI安全系列() 基於Hash PasswordJWT Bearer Token的OAuth2 .0認證

、準備 1、python-jose JavaScript物件簽名加密(JOSE)技術。 JSON Web Signatures(JWS)

FastAPI 安全機制(二) 基於OAuth2JWT的Token認證機制()生成token

作者:麥克煎蛋 出處:https://www.cnblogs.com/mazhiyong/ 轉載請保留這段宣告,謝謝!

FastAPI資料庫系列() MySQL資料庫操作

、簡介 FastAPI中你可以使用任何關係型資料庫,可以通過SQLAlchemy將其輕鬆的適應於任何的資料庫,比如:

Storm 系列)—— Storm流處理簡介

、Storm 1.1 簡介 Storm 是一個開源的分散式實時計算框架,可以以簡單、可靠的方式進行大資料流的處理。通常用於實時分析,線上機器學習、持續計算、分散式 RPC、ETL 等場景。Storm 具有以下特點:

基於TestNGMaven的介面測試之()- 基礎配置

基於TestNG的介面測試之()- 基礎配置 目錄基於TestNG的介面測試之()- 基礎配置TestNG基本介紹TestNGMaven協同使用安裝配置Maven配置使用環境配置Maven的配置

【Gin-API系列】需求設計功能規劃(

場景需求 資料庫儲存2個模型,每個模型都有一個或多個IP欄位,需要通過 Golang Http Api(Restful Api) 返回 IP 資訊。

「免費開源」基於VueQuasar的前端SPA專案crudapi後臺管理系統實戰之聯合索引(十

基於VueQuasar的前端SPA專案實戰之聯合索引(十) 回顧 通過之前文章 基於VueQuasar的前端SPA專案實戰之動態表單(五)的介紹,關於表單元資料配置相關內容已經實現了,本文主要介紹聯合索引功能的實現。

FastAPI學習筆記()-5.當2個接扣的呼叫方法路由相同時,按照前後順序,只執行第一個介面

/tutorial/chapter03.py 1 \'\'\' 2 @author:invoker 3 @project:fastapi202108 4 @file: chapter03.py 5 @contact:[email protected]

基於網管平臺的網路安全運維解決方案

​摘 要:隨著網際網路逐漸普及,物聯網、大資料、雲端計算等技術飛速發展,網路安全時刻面臨嚴峻威脅。各企事業單位對網路運維的需求進一步加強,卻面臨著如裝置多、型號雜、廠家不統一等運維難題,因此在搭建網路

Spring原始碼解析系列:配置類的初始化過程

從今天開始,準備寫關於Spring原始碼的部落格,那麼廢話不多說,咱們開始搞! 1.環境準備

基於AOPRedis實現對介面呼叫情況的介面及IP限流

[toc] 需求描述 專案中有許多介面,現在我們需要實現一個功能對介面呼叫情況進行統計,主要功能如下:

基於JWT Shiro 做介面許可權認證

實現目標 使用者登入後, 能通過令牌(token) 來訪問一些需要登入才能訪問的介面。

ElasticSearch實戰系列: ElasticSearch叢集+Kinaba安裝教程

前言 本文主要介紹的是ElasticSearch叢集kinaba的安裝教程。 ElasticSearch介紹 ElasticSearch是一個基於Lucene的搜尋伺服器,其實就是對Lucene進行封裝,提供了 REST API 的操作介面.

django框架基於queryset雙下劃線的跨表查詢操作詳解

本文例項講述了django框架基於queryset雙下劃線的跨表查詢操作。分享給大家供大家參考,具體如下:

用python求重積分二重積分的例子

首先是對一元函式求積分,使用Scipy下的integrate函式: from scipy import integrate def g(x):

Python3.7基於hashlibCrypto實現加簽驗籤功能(例項程式碼)

環境: Python3.7 依賴庫: import datetime import random import requests import hashlib import json import base64

對Python中維向量維向量轉置相乘的方法詳解

在Python中有時會碰到需要一個維列向量(n*1)與另一個維列向量(n*1)的轉置(1*n)相乘,得到一個n*n的矩陣的情況。但是在python中,

基於PythonPyYAML讀取yaml配置檔案資料

、首先我們需要安裝 PyYAML 第三方庫 直接使用 pip install PyYAML 就可以(這裡我之前是裝過的,所以提示我PyYAML已經在這個目錄下了,是5.1.2版本的)

C#實現Check Password鎖定輸錯密碼鎖定賬戶功能

銀行卡大家都使用,在密碼輸錯超過限制次數之後,就容易被鎖死,智慧到銀行櫃檯才能解鎖,那麼這功能如果實現的呢,今天小編通過例項程式碼給大家詳細講解,一起跟隨小編看看吧。