引言

FastAPI 是一个现代、快速(高性能)的 Web 框架,用于构建 API,由 Python 3.6+ 支持。它旨在让开发者能够以更快的速度构建出高性能的 API。在开发过程中,身份认证是一个至关重要的环节,它确保了只有授权的用户才能访问敏感数据或执行特定操作。本文将深入探讨如何利用 FastAPI 实现高效的身份认证。

FastAPI 简介

FastAPI 是一个基于 Starlette 和 Pydantic 的 Web 框架,它结合了 Python 3.6+ 的类型提示功能。FastAPI 的核心优势包括:

  • 类型安全:通过类型提示来验证数据。
  • 自动文档:使用 Swagger UI 和 ReDoc 生成自动化的 API 文档。
  • 异步支持:利用 Python 3.7+ 的 asyncioaiohttp 库。

身份认证基础

在 FastAPI 中,身份认证通常涉及以下几个步骤:

  1. 用户认证:验证用户的身份。
  2. 权限分配:确定用户有权访问哪些资源。
  3. 会话管理:管理用户的登录状态。

FastAPI 身份认证实现

FastAPI 提供了多种身份认证方法,以下是一些常见的方法:

1. 基于密码的身份认证

使用 HTTP Basic AuthJWT(JSON Web Tokens)进行基于密码的身份认证。

from fastapi import FastAPI, HTTPException, Depends, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") # 模拟用户数据库 fake_users_db = { "johndoe": {"username": "johndoe", "hashed_password": "fakehashed"} } def authenticate_user(username: str, password: str): user = fake_users_db.get(username) if not user or not verify_password(password, user["hashed_password"]): return False return user def verify_password(plain_password, hashed_password): return check_password_hash(plain_password, hashed_password) @app.post("/token") async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()): user = authenticate_user(form_data.username, form_data.password) if not user: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect username or password", headers={"WWW-Authenticate": "Bearer"}, ) access_token = create_access_token(data={"sub": user["username"]}) return {"access_token": access_token, "token_type": "bearer"} @app.get("/users/me") async def read_users_me(token: str = Depends(oauth2_scheme)): return {"username": token}

2. 基于角色的访问控制

在 FastAPI 中,您可以使用依赖项来检查用户的角色,并根据角色提供不同的访问权限。

from fastapi import FastAPI, Depends, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") fake_users_db = { "johndoe": {"username": "johndoe", "hashed_password": "fakehashed", "roles": ["user"]}, "admin": {"username": "admin", "hashed_password": "fakehashed", "roles": ["admin"]} } def get_current_user(token: str = Depends(oauth2_scheme)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) try: username: str = token except Exception: raise credentials_exception user = fake_users_db.get(username) if not user: raise credentials_exception return user def get_current_active_user(current_user: dict = Depends(get_current_user)): if current_user["roles"] not in ["admin", "user"]: raise HTTPException(status_code=400, detail="Not enough permissions") return current_user @app.get("/users/me") async def read_users_me(current_user: dict = Depends(get_current_active_user)): return {"username": current_user["username"], "roles": current_user["roles"]}

3. 使用 OAuth2

FastAPI 还支持 OAuth2,它是一种授权框架,允许第三方应用访问受保护的资源。

from fastapi import FastAPI, Depends, HTTPException, status from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm, OAuth2PasswordBearerWithScopes app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") fake_users_db = { "johndoe": {"username": "johndoe", "hashed_password": "fakehashed", "scopes": ["read", "write"]} } def get_current_user(token: str = Depends(oauth2_scheme)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) try: username: str = token except Exception: raise credentials_exception user = fake_users_db.get(username) if not user: raise credentials_exception return user @app.post("/token") async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()): user = authenticate_user(form_data.username, form_data.password) if not user: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect username or password", headers={"WWW-Authenticate": "Bearer"}, ) access_token = create_access_token(data={"sub": user["username"], "scopes": user["scopes"]}) return {"access_token": access_token, "token_type": "bearer"} @app.get("/users/me") async def read_users_me(current_user: dict = Depends(get_current_user)): return {"username": current_user["username"], "scopes": current_user["scopes"]}

总结

FastAPI 提供了多种身份认证方法,可以根据具体需求选择合适的方法。通过结合类型安全、自动文档和异步支持等特性,FastAPI 可以帮助开发者快速构建出高效、安全的 API。在实际应用中,您可能需要根据业务需求对身份认证机制进行定制化开发。