title: API安全大揭秘:认证与授权的双面舞会
date: 2025/05/28 12:14:35
updated: 2025/05/28 12:14:35
author: cmdragon
excerpt:
API安全的核心需求包括认证与授权机制。认证验证用户身份,如用户名密码登录;授权验证用户是否有权限执行特定操作,如管理员删除数据。典型安全威胁包括未授权访问、凭证泄露和权限提升。FastAPI通过OpenAPI规范支持OAuth2、HTTP Basic等安全方案,依赖注入系统实现灵活验证。OAuth2协议通过授权请求、授权许可、访问令牌等步骤确保安全访问。FastAPI实现OAuth2密码流程示例包括环境准备、核心代码实现和运行测试,确保用户身份验证和权限控制。
categories:
tags:
扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长
探索数千个预构建的 AI 应用,开启你的下一个伟大创意:https://tools.cmdragon.cn/
类比:进入公司大楼时出示工牌(证明你是员工)
类比:不同工牌对应不同的门禁权限(普通员工不能进入机房)
/admin/delete-data接口删除数据+--------+ +---------------+
| |--(A) 授权请求 ->---------------| 资源所有者 |
| | | (用户) |
| |---------------| 授权服务器 |
| 客户端 | | (签发令牌) |
| |---------------| 资源服务器 |
| | | (存储数据) |
| |# 安装依赖库(指定版本保证兼容性)
pip install fastapi==0.68.0 uvicorn==0.15.0
pip install python-jose[cryptography]==3.3.0
pip install passlib[bcrypt]==1.7.4
from fastapi import Depends, FastAPI, HTTPException
from fastapi.security import OAuth2PasswordBearer
from jose import JWTError, jwt
from passlib.context import CryptContext
from pydantic import BaseModel
from datetime import datetime, timedelta
# 安全配置常量
SECRET_KEY = "your-secret-key-here"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
# 密码加密上下文
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
# OAuth2方案声明
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
# 用户数据模型
class User(BaseModel):
username: str
disabled: bool = False
class UserInDB(User):
hashed_password: str
# 令牌生成函数
def create_access_token(data: dict):
to_encode = data.copy()
expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
to_encode.update({"exp": expire})
return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
# 认证依赖项
async def get_current_user(token: str = Depends(oauth2_scheme)):
credential_exception = HTTPException(
status_code=401,
detail="无法验证凭证",
headers={"WWW-Authenticate": "Bearer"},
)
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
username: str = payload.get("sub")
if username is None:
raise credential_exception
except JWTError:
raise credential_exception
# 实际项目应查询数据库
user = UserInDB(
username=username,
hashed_password="fakehash",
disabled=False
)
if user.disabled:
raise HTTPException(status_code=400, detail="用户已被禁用")
return user
app = FastAPI()
@app.post("/token")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
# 验证用户名密码(示例硬编码)
if form_data.username != "testuser" or form_data.password != "testpass":
raise HTTPException(
status_code=401,
detail="用户名或密码错误",
headers={"WWW-Authenticate": "Bearer"},
)
access_token = create_access_token(
data={"sub": form_data.username}
)
return {"access_token": access_token, "token_type": "bearer"}
@app.get("/protected/")
async def read_protected_route(current_user: User = Depends(get_current_user)):
return {"message": "已授权访问", "user": current_user.username}
uvicorn main:app --reload
打开浏览器访问 http://localhost:8000/docs,在Swagger界面中:
/token 端点,输入测试凭证(username: testuser, password: testpass)/protected/ 端点,在Authorization弹窗中输入 Bearer Q1:认证与授权的根本区别是什么?
A) 认证确认身份,授权验证权限
B) 授权在前,认证在后
C) 两者是同义词
Q2:OAuth2的授权码流程包含哪些主要步骤?
A) 客户端直接获取访问令牌
B) 用户授权 → 获取授权码 → 交换访问令牌
C) 用户名密码直接传递给资源服务器
报错:422 Unprocessable Entity
{
"detail": [
{
"loc": [
"body",
"password"
],
"msg": "field required",
"type": "value_error.missing"
}
]
}
原因分析:
解决方法:
{
"username": "testuser",
"password": "testpass"
}
...表示必填字段:class LoginRequest(BaseModel):
username: str
password: str # 必填字段
预防建议:
from pydantic import StrictStr
class LoginRequest(BaseModel):
username: StrictStr
password: StrictStr
response_model_exclude_unset=True过滤未设置字段余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:API安全大揭秘:认证与授权的双面舞会 | cmdragon's Blog
登录查看全部
参与评论
手机查看
返回顶部