title: FastAPI认证系统：从零到令牌大师的奇幻之旅
date: 2025/06/06 16:13:06
updated: 2025/06/06 16:13:06
author: cmdragon

excerpt:
FastAPI认证系统的基础架构包括用户注册、登录认证、权限验证和令牌刷新机制。实现步骤涵盖环境准备、数据库模型定义、安全工具函数、路由实现及API端点保护。通过Swagger UI可测试注册、登录和受保护端点。常见报错如422验证错误和401未授权，可通过检查请求参数和令牌有效性解决。JWT令牌由Header、Payload和Signature组成，密码存储使用哈希函数确保安全性。

categories:

• 后端开发
• FastAPI

tags:

• FastAPI
• 认证系统
• JWT
• 用户注册
• 权限验证
• Swagger UI
• 安全工具函数

扫描二维码
关注或者微信搜一搜：编程智域 前端至全栈交流与成长

探索数千个预构建的 AI 应用，开启你的下一个伟大创意：https://tools.cmdragon.cn/

第一章：构建FastAPI完整认证系统

1. 认证系统基础架构

现代Web应用的认证系统通常包含以下核心组件：

• 用户注册模块（处理密码哈希存储）
• 登录认证流程（JWT令牌颁发）
• 权限验证中间件（保护API端点）
• 令牌刷新机制（维护会话有效性）

认证流程示意图：
客户端 → 注册 → 登录获取令牌 → 携带令牌访问API → 服务端验证令牌 → 返回资源

2. 完整实现步骤

2.1 环境准备

安装所需依赖（推荐使用虚拟环境）：

pip install fastapi==0.78.0 uvicorn==0.18.2 python-jose[cryptography]==3.3.0 passlib[bcrypt]==1.7.4 python-multipart==0.0.5

2.2 数据库模型定义

from pydantic import BaseModel, EmailStr
from typing import Optional


class UserCreate(BaseModel):
    email: EmailStr
    password: str


class UserInDB(UserCreate):
    hashed_password: str


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    email: Optional[EmailStr] = None

2.3 安全工具函数

from datetime import datetime, timedelta
from jose import JWTError, jwt
from passlib.context import CryptContext

SECRET_KEY = "your-secret-key-here"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")


def verify_password(plain_password: str, hashed_password: str):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password: str):
    return pwd_context.hash(password)


def create_access_token(data: dict):
    to_encode = data.copy()
    expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

2.4 路由实现

from fastapi import APIRouter, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordRequestForm

router = APIRouter()

# 模拟数据库
fake_users_db = {}


@router.post("/register", response_model=UserInDB)
async def register(user: UserCreate):
    if user.email in fake_users_db:
        raise HTTPException(status_code=400, detail="Email already registered")

    hashed_password = get_password_hash(user.password)
    user_db = UserInDB(**user.dict(), hashed_password=hashed_password)
    fake_users_db[user.email] = user_db.dict()
    return user_db


@router.post("/login", response_model=Token)
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    user_data = fake_users_db.get(form_data.username)
    if not user_data or not verify_password(form_data.password, user_data["hashed_password"]):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Invalid credentials",
            headers={"WWW-Authenticate": "Bearer"},
        )

    access_token = create_access_token(data={"sub": user_data["email"]})
    return {"access_token": access_token, "token_type": "bearer"}

2.5 保护API端点

from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        email: str = payload.get("sub")
        if email is None:
            raise credentials_exception
    except JWTError:
        raise credentials_exception

    user = fake_users_db.get(email)
    if user is None:
        raise credentials_exception
    return user


@router.get("/protected")
async def protected_endpoint(current_user: UserInDB = Depends(get_current_user)):
    return {
        "message": f"Hello {current_user['email']}",
        "protected_data": "Sensitive information here"
    }

3. 使用Swagger UI测试

3.1 启动应用

创建main.py：

from fastapi import FastAPI

app = FastAPI()
app.include_router(router, prefix="/api")

if __name__ == "__main__":
    import uvicorn

    uvicorn.run(app, host="0.0.0.0", port=8000)

3.2 测试流程

1. 访问 http://localhost:8000/docs
2. 测试注册接口：
   • 请求体：
3. 测试登录接口获取令牌
4. 点击"Authorize"按钮，输入获取的JWT令牌
5. 测试/protected端点

成功响应示例：

{
  "message": "Hello user@example.com",
  "protected_data": "Sensitive information here"
}

4. 常见报错解决方案

4.1 422 Validation Error

现象：请求参数不符合验证规则
解决方案：

1. 检查请求体是否符合定义的Pydantic模型
2. 验证email格式是否正确（必须包含@符号）
3. 确保密码字段存在且长度合适

4.2 401 Unauthorized

原因：

• 缺失Authorization头
• 令牌过期
• 无效的签名
  处理步骤：

1. 检查请求头是否包含Authorization: Bearer
2. 重新获取有效令牌
3. 验证密钥和算法是否匹配

课后Quiz

Q1：为什么在用户注册时要存储密码哈希而不是明文？
A：防止数据库泄露导致用户密码暴露，哈希函数不可逆，提高系统安全性

Q2：JWT令牌包含哪三个主要组成部分？
A：Header（元数据）、Payload（有效载荷）、Signature（签名验证）

Q3：如何实现自动刷新令牌？
A：可以通过以下两种方式实现：

1. 在令牌payload中添加refresh_token字段
2. 单独提供/refresh端点，使用长期有效的刷新令牌获取新的访问令牌

Q4：访问/protected端点时出现403错误可能是什么原因？
A：可能原因包括：

1. 令牌已过期（超过30分钟）
2. 令牌签名与服务端密钥不匹配
3. 令牌中的用户信息不存在于数据库

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜：编程智域 前端至全栈交流与成长，阅读完整的文章：FastAPI认证系统：从零到令牌大师的奇幻之旅 | cmdragon's Blog

往期文章归档：

• FastAPI安全异常处理：从401到422的奇妙冒险 | cmdragon's Blog
• FastAPI权限迷宫：RBAC与多层级依赖的魔法通关秘籍 | cmdragon's Blog
• JWT令牌：从身份证到代码防伪的奇妙之旅 | cmdragon's Blog
• FastAPI安全认证：从密码到令牌的魔法之旅 | cmdragon's Blog
• 密码哈希：Bcrypt的魔法与盐值的秘密 | cmdragon's Blog
• 用户认证的魔法配方：从模型设计到密码安全的奇幻之旅 | cmdragon's Blog
• FastAPI安全门神：OAuth2PasswordBearer的奇妙冒险 | cmdragon's Blog
• OAuth2密码模式：信任的甜蜜陷阱与安全指南 | cmdragon's Blog
• API安全大揭秘：认证与授权的双面舞会 | cmdragon's Blog
• 异步日志监控：FastAPI与MongoDB的高效整合之道 | cmdragon's Blog
• FastAPI与MongoDB分片集群：异步数据路由与聚合优化 | cmdragon's Blog
• FastAPI与MongoDB Change Stream的实时数据交响曲 | cmdragon's Blog
• 地理空间索引：解锁日志分析中的位置智慧 | cmdragon's Blog
• 异步之舞：FastAPI与MongoDB的极致性能优化之旅 | cmdragon's Blog
• 异步日志分析：MongoDB与FastAPI的高效存储揭秘 | cmdragon's Blog
• MongoDB索引优化的艺术：从基础原理到性能调优实战 | cmdragon's Blog
• 解锁FastAPI与MongoDB聚合管道的性能奥秘 | cmdragon's Blog
• 异步之舞：Motor驱动与MongoDB的CRUD交响曲 | cmdragon's Blog
• 异步之舞：FastAPI与MongoDB的深度协奏 | cmdragon's Blog
• 数据库迁移的艺术：FastAPI生产环境中的灰度发布与回滚策略 | cmdragon's Blog
• 数据库迁移的艺术：团队协作中的冲突预防与解决之道 | cmdragon's Blog
• 驾驭FastAPI多数据库：从读写分离到跨库事务的艺术 | cmdragon's Blog
• 数据库事务隔离与Alembic数据恢复的实战艺术 | cmdragon's Blog
• FastAPI与Alembic：数据库迁移的隐秘艺术 | cmdragon's Blog
• 飞行中的引擎更换：生产环境数据库迁移的艺术与科学 | cmdragon's Blog
• Alembic迁移脚本冲突的智能检测与优雅合并之道 | cmdragon's Blog
• 多数据库迁移的艺术：Alembic在复杂环境中的精妙应用 | cmdragon's Blog
• 数据库事务回滚：FastAPI中的存档与读档大法 | cmdragon's Blog
• Alembic迁移脚本：让数据库变身时间旅行者 | cmdragon's Blog
• 数据库连接池：从银行柜台到代码世界的奇妙旅程 | cmdragon's Blog
• 点赞背后的技术大冒险：分布式事务与SAGA模式 | cmdragon's Blog
• N+1查询：数据库性能的隐形杀手与终极拯救指南 | cmdragon's Blog
• FastAPI与Tortoise-ORM开发的神奇之旅 | cmdragon's Blog
• DDD分层设计与异步职责划分：让你的代码不再“异步”混乱 | cmdragon's Blog
• 异步数据库事务锁：电商库存扣减的防超卖秘籍 | cmdragon's Blog
• XML Sitemap