2. 程式人生 > 實用技巧 >FastAPI 安全機制(四) OAuth2 scopes

FastAPI 安全機制(四) OAuth2 scopes

阿新 發佈:2020-07-20

作者:麥克煎蛋 出處:https://www.cnblogs.com/mazhiyong/ 轉載請保留這段宣告,謝謝!

OAuth2 scopes是一種細粒度的安全許可機制,通常用來對使用者或者第三方應用提供特定的訪問許可。

在OAuth2的規範中,scopes是一個基於空格分隔符的字串列表。這些scopes代表著"許可"。

每一個scope項是一個不帶空格的字串,通常用來表示特定的安全許可,例如:

  • users:read 或者 users:write:這是通常的使用場景
  • instagram_basic: Facebook / Instagram的使用場景
  • https://www.googleapis.com/auth/drive
    : Google使用場景

scope的具體內容根據業務需求而定,對OAuth2來說只是字串。

我們可以在FastAPI中直接使用無縫整合的OAuth2 scopes。

一、通過token返回scopes資訊

1、後臺獲取許可權

通常情況下,使用者登陸成功以後,我們可以獲取到使用者真實的許可權,並通過token返回scopes資訊。

示例中的scopes資訊僅是演示,使用時應該根據使用者的實際系統許可權來賦值。

@app.post("/login", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends(), db: Session = Depends(get_db)):
    
 
# 首先校驗使用者資訊
    user = authenticate_user(db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )

    
 
# 生成並返回token資訊
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username, "scopes": "me"}, 
        expires_delta=access_token_expires
    )

    return {"access_token": access_token, "token_type": "bearer"}

2、使用者登陸時選擇

使用者也可以在登陸時選擇scopes資訊,這也是Google等登陸時所用的機制。

我們需要在OAuth2PasswordBearer中新增scopes資訊。

oauth2_scheme = OAuth2PasswordBearer(
    tokenUrl="token",
    scopes={"me": "Read information about the current user.", "items": "Read items."},
)

同樣我們也是通過token返回scopes資訊,只不過scopes資訊的來源是使用者端。

@app.post("/login2", response_model=Token)
async def login_for_access_token2(form_data: OAuth2PasswordRequestForm = Depends(), db: Session = Depends(get_db)):
    # 首先校驗使用者資訊
    user = authenticate_user(db, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )

    # 生成並返回token資訊
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username, "scopes": form_data.scopes},
        expires_delta=access_token_expires
    )

    return {"access_token": access_token, "token_type": "bearer"}

我們可以在互動式文件中檢視顯示效果:

二、scopes許可權校驗

當有請求訪問時,需要從token中解析出有效資訊,不僅需要完成使用者身份校驗,還需要完成基於scopes的許可權校驗。

1、scopes資料傳遞

首先需要在路徑操作中新增對scopes的依賴項:

@app.get("/users/me/", response_model=User)
async def read_users_me(
    current_user: User = Security(get_current_user, scopes=["me"])
):
    return current_user

Security實際上是Depends的子類,只不過多了一個引數,可以接收scopes的列表資訊。

通過使用Security而不是Depends,FastAPI將會知道它會宣告並內部使用scopes資訊,並且在互動式文件中顯示這些資訊。

2、scopes資料解析

SecurityScopes的屬性scopes,是一個包含所有它需要的scopes以及所有依賴項(把它作為子依賴項)的列表。

SecurityScopes的屬性scope_str,是包含所有scopes的一個字串(以空格分隔)。

class SecurityScopes:
    def __init__(self, scopes: List[str] = None):
        self.scopes = scopes or []
        self.scope_str = " ".join(self.scopes)
async def get_current_user(security_scopes: SecurityScopes, token: str = Depends(oauth2_scheme), db: Session = Depends(get_db)):
    if security_scopes.scopes:
        authenticate_value = f'Bearer scope="{security_scopes.scope_str}"'
    else:
        authenticate_value = f"Bearer"

    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": authenticate_value},
    )

    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        print(username)

        if username is None:
            raise credentials_exception

        # 讀取scopes資訊
        token_scopes = payload.get("scopes", [])
        token_data = TokenData(scopes=token_scopes, username=username)
except (PyJWTError, ValidationError):
        raise credentials_exception

    # 使用者身份校驗
    user = DBUser.get_by_username(db, token_data.username)
    if user is None:
        raise credentials_exception

    # 基於scope的許可權校驗
    for scope in security_scopes.scopes:
        if scope not in token_data.scopes:
            raise HTTPException(
                status_code=status.HTTP_401_UNAUTHORIZED,
                detail="Not enough permissions",
                headers={"WWW-Authenticate": authenticate_value},
            )

    return user

3、依賴項樹和scopes

修改部分程式碼邏輯如下:

async def get_current_active_user(
    current_user: User = Security(get_current_user, scopes=["me"])
):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="Inactive user")
    return current_user


@app.get("/users/me/", response_model=User)
async def read_users_me(
    current_user: User = Security(get_current_active_user, scopes=["me"])
):
    return current_user


@app.get("/items/")
async def read_items(token: str = Depends(oauth2_scheme)):
    return {"token": token}


@app.get("/users/me/items/")
async def read_own_items(
    current_user: User = Security(get_current_active_user, scopes=["items"])
):
    return [{"item_id": "Foo", "owner": current_user.username}]


@app.get("/status/")
async def read_system_status(current_user: User = Depends(get_current_user)):
    return {"status": "ok"}

關於依賴項和scopes的層次提下如下:

路徑操作read_own_items有:

  * 依賴項需要的scopes: ["items"]

  * 依賴項函式 get_current_active_user:

    * 依賴項需要的scopes: ["me"]

    * 依賴項函式 get_current_user:

        * 自身不需要scopes

        * 依賴項oauth2_scheme

        *SecurityScopes型別的引數security_scopes

          * 引數security_scopes的屬性scopes包含所有以上宣告的scopes的一個列表,因此

            * 對於路徑操作 read_own_items來說,security_scopes.scopes 包含 ["me", "items"]

            * 對於路徑操作 read_users_me來說,security_scopes.scopes 包含 ["me"]

            * 對於路徑操作 read_system_status來說,security_scopes.scopes 的內容為[]

           

  

相關推薦

FastAPI 安全機制() OAuth2 scopes

作者:麥克煎蛋 出處:https://www.cnblogs.com/mazhiyong/ 轉載請保留這段宣告,謝謝!

FastAPI 安全機制(二) 基於OAuth2和JWT的Token認證機制(一)生成token

作者:麥克煎蛋 出處:https://www.cnblogs.com/mazhiyong/ 轉載請保留這段宣告,謝謝!

FastAPI安全系列(一) 基於Hash Password和JWT Bearer Token的OAuth2 .0認證

一、準備 1、python-jose JavaScript物件簽名和加密(JOSE)技術。 JSON Web Signatures(JWS)

FastAPI安全系列(一) 基於Password和Bearer Token的OAuth2 .0認證

一、獲取username和password  後臺獲取前臺提交的username和password,可以使用FastAPI安全實用性工具獲取username和password。

TP5框架安全機制例項分析

本文例項講述了TP5框架安全機制。分享給大家供大家參考,具體如下: 防止sql注入

類載入器、雙親委派機制和沙箱安全機制

類載入器、雙親委派機制和沙箱安全機制 類載入器 作用:載入Class檔案 類載入流程:

FastAPI 工程管理() 工程示例

作者:麥克煎蛋 出處:https://www.cnblogs.com/mazhiyong/ 轉載請保留這段宣告,謝謝!

Flink的狀態程式設計和容錯機制()

一、狀態程式設計   Flink 內建的很多運算元,資料來源 source,資料儲存 sink 都是有狀態的,流中的資料都是 buffer records,會儲存一定的元素或者元資料。例如: ProcessWindowFunction會快取輸入流的資料,Proc

Linux中的spinlock機制[] - API的使用【轉】

轉自:https://zhuanlan.zhihu.com/p/90634198 Linux中的spinlock機制[] - API的使用 蘭新宇 talk is cheap

HCIE網路安全

DNS毒化攻擊 DNS系統概述 域名系統DNS(domain name system)是因特網使用的命名系統,用來把便於人們記憶的含有特定含義的主機名轉換為便於機器處理的IP地址,值得注意的是,DNS系統採用C/S架構,其協議執

Kubernetes 叢集安全機制詳解(轉)

轉自:https://blog.csdn.net/qianghaohao/article/details/100012855 本文主要介紹 Kubernetes 的安全機制,如何使用一系列概念、技術點、機制確保叢集的訪問是安全的,涉及到的關鍵詞有:api-server,認證,授權,

Kubernetes叢集安全機制

概述 當我們訪問K8S叢集時,需要經過三個步驟完成具體操作 認證 鑑權【授權】

Mongo寫入安全機制

  寫入安全(Write Concern) 是一種客戶端設定,用於控制寫入的安全級別。預設況下,插入、刪除和更新都會一直等待資料庫響應(寫入是否成功),然後才會繼續執行。通常,遇到錯誤時,客戶端會丟擲一個異常(有些語

繞過詞法解析過程中的安全機制,防禦XSS攻擊!

雨筍教育小編今日這篇分享:關於XSS漏洞攻擊的案例分析,本文除了概念介紹,還詳細舉了兩個案例,接下來就往下文看看吧!

linux安全機制

Stack Canaries   Stack Canaries(取名自地下煤礦的金絲雀,因為它能比礦工更早地發現煤氣洩漏,有預警的作用)是一種用於對抗棧溢位攻擊的技術,即ssp安全機制,有時也叫做Stack cookies。Canary的值是棧上的一個

網路安全實驗:1.安全通訊協議SSH應用與分析

本實驗主要了解Telnet服務和SSH服務的區別,那麼要分別搭建兩個伺服器,並且用Wireshark來抓包分析。

odoo開發教程六:工作流、安全機制、嚮導

一:工作流 工作流是與業務流程相關聯的模型,可用於跟蹤工序的動態演變過程。

Linux - K8S - 安全機制之SA和UA

# 3.安全機制 ## 3.1 SA ```sh # 建立測試SA,我們發現一個SA有相對應的secrets [19:25:06 root@master1 security]#kubectl create -f - <<EOF

13.Kubernetes叢集安全機制

1.概述 當我們訪問K8S叢集時,需要經過三個步驟完成具體操作 認證 鑑權【授權】

Flask原始碼剖析():Flask的上下文機制(下)

前言 本文緊接著「Flask原始碼剖析(三):Flask的上下文機制(上)」,討論如下問題。