FastAPI认证系统:从零到令牌大师的奇幻之旅
title: FastAPI认证系统:从零到令牌大师的奇幻之旅date: 2025/06/06 16:13:06
updated: 2025/06/06 16:13:06
author:cmdragon
excerpt:
FastAPI认证系统的基础架构包括用户注册、登录认证、权限验证和令牌刷新机制。实现步骤涵盖环境准备、数据库模型定义、安全工具函数、路由实现及API端点保护。通过Swagger UI可测试注册、登录和受保护端点。常见报错如422验证错误和401未授权,可通过检查请求参数和令牌有效性解决。JWT令牌由Header、Payload和Signature组成,密码存储使用哈希函数确保安全性。
categories:
[*]后端开发
[*]FastAPI
tags:
[*]FastAPI
[*]认证系统
[*]JWT
[*]用户注册
[*]权限验证
[*]Swagger UI
[*]安全工具函数
扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长
探索数千个预构建的 AI 应用,开启你的下一个伟大创意:https://tools.cmdragon.cn/
第一章:构建FastAPI完整认证系统
1. 认证系统基础架构
现代Web应用的认证系统通常包含以下核心组件:
[*]用户注册模块(处理密码哈希存储)
[*]登录认证流程(JWT令牌颁发)
[*]权限验证中间件(保护API端点)
[*]令牌刷新机制(维护会话有效性)
认证流程示意图:
客户端 → 注册 → 登录获取令牌 → 携带令牌访问API → 服务端验证令牌 → 返回资源
2. 完整实现步骤
2.1 环境准备
安装所需依赖(推荐使用虚拟环境):
pip install fastapi==0.78.0 uvicorn==0.18.2 python-jose==3.3.0 passlib==1.7.4 python-multipart==0.0.52.2 数据库模型定义
from pydantic import BaseModel, EmailStr
from typing import Optional
class UserCreate(BaseModel):
email: EmailStr
password: str
class UserInDB(UserCreate):
hashed_password: str
class Token(BaseModel):
access_token: str
token_type: str
class TokenData(BaseModel):
email: Optional = None2.3 安全工具函数
from datetime import datetime, timedelta
from jose import JWTError, jwt
from passlib.context import CryptContext
SECRET_KEY = "your-secret-key-here"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
def verify_password(plain_password: str, hashed_password: str):
return pwd_context.verify(plain_password, hashed_password)
def get_password_hash(password: str):
return pwd_context.hash(password)
def create_access_token(data: dict):
to_encode = data.copy()
expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
to_encode.update({"exp": expire})
return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)2.4 路由实现
from fastapi import APIRouter, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordRequestForm
router = APIRouter()
# 模拟数据库
fake_users_db = {}
@router.post("/register", response_model=UserInDB)
async def register(user: UserCreate):
if user.email in fake_users_db:
raise HTTPException(status_code=400, detail="Email already registered")
hashed_password = get_password_hash(user.password)
user_db = UserInDB(**user.dict(), hashed_password=hashed_password)
fake_users_db = user_db.dict()
return user_db
@router.post("/login", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
user_data = fake_users_db.get(form_data.username)
if not user_data or not verify_password(form_data.password, user_data["hashed_password"]):
raise HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Invalid credentials",
headers={"WWW-Authenticate": "Bearer"},
)
access_token = create_access_token(data={"sub": user_data["email"]})
return {"access_token": access_token, "token_type": "bearer"}2.5 保护API端点
from fastapi.security import OAuth2PasswordBearer
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")
async def get_current_user(token: str = Depends(oauth2_scheme)):
credentials_exception = HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Could not validate credentials",
headers={"WWW-Authenticate": "Bearer"},
)
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=)
email: str = payload.get("sub")
if email is None:
raise credentials_exception
except JWTError:
raise credentials_exception
user = fake_users_db.get(email)
if user is None:
raise credentials_exception
return user
@router.get("/protected")
async def protected_endpoint(current_user: UserInDB = Depends(get_current_user)):
return {
"message": f"Hello {current_user['email']}",
"protected_data": "Sensitive information here"
}3. 使用Swagger UI测试
3.1 启动应用
创建main.py:
from fastapi import FastAPI
app = FastAPI()
app.include_router(router, prefix="/api")
if __name__ == "__main__":
import uvicorn
uvicorn.run(app, host="0.0.0.0", port=8000)3.2 测试流程
[*]访问 http://localhost:8000/docs
[*]测试注册接口:
[*]请求体:
[*]测试登录接口获取令牌
[*]点击"Authorize"按钮,输入获取的JWT令牌
[*]测试/protected端点
成功响应示例:
{
"message": "Hello user@example.com",
"protected_data": "Sensitive information here"
}4. 常见报错解决方案
4.1 422 Validation Error
现象:请求参数不符合验证规则
解决方案:
[*]检查请求体是否符合定义的Pydantic模型
[*]验证email格式是否正确(必须包含@符号)
[*]确保密码字段存在且长度合适
4.2 401 Unauthorized
原因:
[*]缺失Authorization头
[*]令牌过期
[*]无效的签名
处理步骤:
[*]检查请求头是否包含Authorization: Bearer
[*]重新获取有效令牌
[*]验证密钥和算法是否匹配
课后Quiz
Q1:为什么在用户注册时要存储密码哈希而不是明文?
A:防止数据库泄露导致用户密码暴露,哈希函数不可逆,提高系统安全性
Q2:JWT令牌包含哪三个主要组成部分?
A:Header(元数据)、Payload(有效载荷)、Signature(签名验证)
Q3:如何实现自动刷新令牌?
A:可以通过以下两种方式实现:
[*]在令牌payload中添加refresh_token字段
[*]单独提供/refresh端点,使用长期有效的刷新令牌获取新的访问令牌
Q4:访问/protected端点时出现403错误可能是什么原因?
A:可能原因包括:
[*]令牌已过期(超过30分钟)
[*]令牌签名与服务端密钥不匹配
[*]令牌中的用户信息不存在于数据库
余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:FastAPI认证系统:从零到令牌大师的奇幻之旅 | cmdragon's Blog
往期文章归档:
[*]FastAPI安全异常处理:从401到422的奇妙冒险 | cmdragon's Blog
[*]FastAPI权限迷宫:RBAC与多层级依赖的魔法通关秘籍 | cmdragon's Blog
[*]JWT令牌:从身份证到代码防伪的奇妙之旅 | cmdragon's Blog
[*]FastAPI安全认证:从密码到令牌的魔法之旅 | cmdragon's Blog
[*]密码哈希:Bcrypt的魔法与盐值的秘密 | cmdragon's Blog
[*]用户认证的魔法配方:从模型设计到密码安全的奇幻之旅 | cmdragon's Blog
[*]FastAPI安全门神:OAuth2PasswordBearer的奇妙冒险 | cmdragon's Blog
[*]OAuth2密码模式:信任的甜蜜陷阱与安全指南 | cmdragon's Blog
[*]API安全大揭秘:认证与授权的双面舞会 | cmdragon's Blog
[*]异步日志监控:FastAPI与MongoDB的高效整合之道 | cmdragon's Blog
[*]FastAPI与MongoDB分片集群:异步数据路由与聚合优化 | cmdragon's Blog
[*]FastAPI与MongoDB Change Stream的实时数据交响曲 | cmdragon's Blog
[*]地理空间索引:解锁日志分析中的位置智慧 | cmdragon's Blog
[*]异步之舞:FastAPI与MongoDB的极致性能优化之旅 | cmdragon's Blog
[*]异步日志分析:MongoDB与FastAPI的高效存储揭秘 | cmdragon's Blog
[*]MongoDB索引优化的艺术:从基础原理到性能调优实战 | cmdragon's Blog
[*]解锁FastAPI与MongoDB聚合管道的性能奥秘 | cmdragon's Blog
[*]异步之舞:Motor驱动与MongoDB的CRUD交响曲 | cmdragon's Blog
[*]异步之舞:FastAPI与MongoDB的深度协奏 | cmdragon's Blog
[*]数据库迁移的艺术:FastAPI生产环境中的灰度发布与回滚策略 | cmdragon's Blog
[*]数据库迁移的艺术:团队协作中的冲突预防与解决之道 | cmdragon's Blog
[*]驾驭FastAPI多数据库:从读写分离到跨库事务的艺术 | cmdragon's Blog
[*]数据库事务隔离与Alembic数据恢复的实战艺术 | cmdragon's Blog
[*]FastAPI与Alembic:数据库迁移的隐秘艺术 | cmdragon's Blog
[*]飞行中的引擎更换:生产环境数据库迁移的艺术与科学 | cmdragon's Blog
[*]Alembic迁移脚本冲突的智能检测与优雅合并之道 | cmdragon's Blog
[*]多数据库迁移的艺术:Alembic在复杂环境中的精妙应用 | cmdragon's Blog
[*]数据库事务回滚:FastAPI中的存档与读档大法 | cmdragon's Blog
[*]Alembic迁移脚本:让数据库变身时间旅行者 | cmdragon's Blog
[*]数据库连接池:从银行柜台到代码世界的奇妙旅程 | cmdragon's Blog
[*]点赞背后的技术大冒险:分布式事务与SAGA模式 | cmdragon's Blog
[*]N+1查询:数据库性能的隐形杀手与终极拯救指南 | cmdragon's Blog
[*]FastAPI与Tortoise-ORM开发的神奇之旅 | cmdragon's Blog
[*]DDD分层设计与异步职责划分:让你的代码不再“异步”混乱 | cmdragon's Blog
[*]异步数据库事务锁:电商库存扣减的防超卖秘籍 | cmdragon's Blog
[*]XML Sitemap
[*]
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]