备案控制台
开发者社区 安全 文章 正文

FastAPI 学习之路(二十九)使用(哈希)密码和 JWT Bearer 令牌的 OAuth2

2022-04-25 379
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: FastAPI 学习之路(二十九)使用(哈希)密码和 JWT Bearer 令牌的 OAuth2

既然我们已经有了所有的安全流程,就让我们来使用 JWT 令牌和安全哈希密码让应用程序真正地安全。


       关于 JWT

       

       它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准。字符串看起来像这样:


eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c


它没有被加密,因此任何人都可以从字符串内容中还原数据。


但它经过了签名。因此,当你收到一个由你发出的令牌时,可以校验令牌是否真的由你发出。


通过这种方式,你可以创建一个有效期为 1 周的令牌。然后当用户第二天使用令牌重新访问时,你知道该用户仍然处于登入状态。

一周后令牌将会过期,用户将不会通过认证,必须再次登录才能获得一个新令牌。而且如果用户(或第三方)试图修改令牌以篡改过期时间,你将因为签名不匹配而能够发觉。


       我们看下如何实现?


一、安装python-json产生和校验JWT。


pip install python-jose

二、使用PassLib处理哈希密码


pip install passlib     
还需要安装
bcrypt pip install bcrypt


三、我们看下如何使用,以及思路


创建一个工具函数以哈希来自用户的密码。


然后创建另一个工具函数,用于校验接收的密码是否与存储的哈希值匹配。


再创建另一个工具函数用于认证并返回用户。


创建用于设定 JWT 令牌签名算法的变量 「ALGORITHM」,并将其设置为 "HS256"。


创建一个设置令牌过期时间的变量。


定义一个将在令牌端点中用于响应的 Pydantic 模型。


创建一个生成新的访问令牌的工具函数。


get_current_user使用的是 JWT 令牌解码,接收到的令牌,对其进行校验,然后返回当前用户。


如果令牌无效,立即返回一个 HTTP 错误。


使用令牌的过期时间创建一个 timedelta 对象。


创建一个真实的 JWT 访问令牌并返回它。


我们最后看下实现代码


from fastapi import FastAPI, Depends,status,HTTPException
from pydantic import BaseModel
from typing import Optional
from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm
from jose import JWTError, jwt
from datetime import datetime, timedelta
from passlib.context import CryptContext
SECRET_KEY = "09d25e094faa6ca2556c818166b7a9563b93f7099f6f0f4caa6cf63b88e8d3e7"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
fake_users = {
    "leizi": {
        "username": "leizi",
        "full_name": "leizishuoceshikaifa",
        "email": "leizi@leizi.com",
        "hashed_password": "$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW",
        "disabled": False
    }
}
app = FastAPI()
def fake_hash_password(password: str):
    return password
class Token(BaseModel):
    access_token: str
    token_type: str
class TokenData(BaseModel):
    username: Optional[str] = None
class User(BaseModel):
    username: str
    email: Optional[str] = None
    full_name: Optional[str] = None
    disabled: Optional[bool] = None
class UserInDB(User):
    hashed_password: str
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)
def get_password_hash(password):
    return pwd_context.hash(password)
def authenticate_user(fake_db, username: str, password: str):
    user = get_user(fake_db, username)
    if not user:
        return False
    if not verify_password(password, user.hashed_password):
        return False
    return user
def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
    return encoded_jwt
def get_user(db, username: str):
    if username in db:
        user_dict = db[username]
        return UserInDB(**user_dict)
def fake_decode_token(token):
    user = get_user(fake_users, token)
    return user
def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="验证失败",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError:
        raise credentials_exception
    user = get_user(fake_users, username=token_data.username)
    if user is None:
        raise credentials_exception
    return user
def get_current_active_user(current_user: User = Depends(get_current_user)):
    if current_user.disabled:
        raise HTTPException(status_code=400, detail="已经删除")
    return current_user
@app.post("/token", response_model=Token)
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()):
    user = authenticate_user(fake_users, form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Bearer"},
        )
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": user.username}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}
@app.get("/users/me")
def read_users_me(current_user: User = Depends(get_current_active_user)):
    return current_user


我们去测试下,效果,我们去在docs上使用Authorize,默认的密码是:secret


image.png

文章标签:
数据安全/隐私保护
安全
算法
数据格式
存储
JSON
关键词:
jwt令牌
jwt学习
jwt oauth2
学习jwt
FastAPI学习
1032199045570561
目录
相关文章
Maynor
|
4天前
|
Java 测试技术 数据安全/隐私保护
SpringCloud微服务之最全JWT学习教程03
SpringCloud微服务之最全JWT学习教程03
Maynor
95 0
游客renxdt7j7326a
|
9月前
|
JSON 前端开发 数据库
学习nest.js中如何使用jwt进行身份验证,这一篇文章就够
学习nest.js中如何使用jwt进行身份验证,这一篇文章就够
游客renxdt7j7326a
260 0
不会就选C.
|
4天前
|
JSON 安全 程序员
[JavaWeb]——JWT令牌技术,如何从获取JWT令牌
[JavaWeb]——JWT令牌技术,如何从获取JWT令牌
不会就选C.
35 0
码农烧烤
|
4天前
|
存储 JSON 算法
SpringBoot之JWT令牌校验
SpringBoot之JWT令牌校验
码农烧烤
23 2
薛伟同学
|
4天前
|
JSON 前端开发 Java
JWT解密:探秘令牌魔法与Java的完美交互
JWT解密:探秘令牌魔法与Java的完美交互
薛伟同学
27 0
JWT解密:探秘令牌魔法与Java的完美交互
小趴菜111.
|
4天前
|
前端开发 数据安全/隐私保护
JWT令牌
JWT令牌
小趴菜111.
16 0
小小小林
|
4天前
|
JSON 前端开发 Java
【java苍穹外卖项目实战四】JWT令牌技术(完善登录功能)
苍穹外卖学习笔记
小小小林
160 0
【java苍穹外卖项目实战四】JWT令牌技术(完善登录功能)
小小小林
|
4天前
|
JSON 安全 Java
JWT令牌技术
JSON Web Token (JWT) 是一种安全的、自包含的信息传输格式,常用于身份验证和信息交换。它由Header、Payload和Signature三部分组成,其中Signature用于验证消息完整性和发送者身份。JWT包含用户信息,服务器登录后发送给客户端,客户端使用JWT证明身份访问受保护资源。在Java项目中,可以使用`java-jwt`库进行JWT的生成和解析。要开始使用JWT,需在Maven或Gradle中添加相关依赖,并实现生成和解析JWT的方法。此外,文中还提供了一个简单的Java Web应用示例,展示如何在用户登录和访问受保护资源时使用JWT。
小小小林
46 0
kouver
|
4天前
|
前端开发 Java Spring
SpringBoot通过拦截器和JWT令牌实现登录验证
该文介绍了JWT工具类、匿名访问注解、JWT验证拦截器的实现以及拦截器注册。使用`java-jwt`库生成和验证JWT,JwtUtil类包含generateToken和verifyToken方法。自定义注解`@AllowAnon`允许接口匿名访问。JwtInterceptor在Spring MVC中拦截请求,检查JWT令牌有效性。InterceptorConfig配置拦截器,注册并设定拦截与排除规则。UserController示例展示了注册、登录(允许匿名)和需要验证的用户详情接口。
kouver
246 1
开朗觉觉
|
4天前
JWT令牌的使用
JWT令牌的使用
开朗觉觉
57 0

热门文章

最新文章

  • 1
    使用JWT的服务分布式部署之后报错:JWT Check Failure:
  • 2
    node实战——后端koa结合jwt连接mysql实现权限登录(node后端就业储备知识)
  • 3
    Python web框架fastapi数据库操作ORM(一)
  • 4
    uniapp框架——vue3+uniFilePicker+fastapi实现文件上传(搭建ai项目第二步)
  • 5
    Python web框架fastapi中间件的使用,CORS跨域详解
  • 6
    Python web框架fastapi数据库操作ORM(二)增删改查逻辑实现方法
  • 7
    python web框架fastapi模板渲染--Jinja2使用技巧总结
  • 8
    vue3 + fastapi 实现选择目录所有文件自定义上传到服务器
  • 9
    如何使用Fastapi上传文件?先从请求体数据讲起
  • 10
    Fastapi进阶用法,路径参数,路由分发,查询参数等详解
  • 1
    Python Web框架FastAPI——一个比Flask和Tornada更高性能的API框架
    63
  • 2
    FastAPI中如何调用同步函数
    53
  • 3
    Python 潮流周刊#15:如何分析 FastAPI 异步请求的性能?
    76
  • 4
    Python微服务框架:Flask与FastAPI的融合创新
    239
  • 5
    FastAPI 并发请求解析:提高性能的重要特性
    158
  • 6
    逐步指南:使用FastAPI部署YOLO模型的步骤
    341
  • 7
    使用Python构建RESTful API:Flask和FastAPI的对比与实践
    559
  • 8
    使用FastAPI部署Ultralytics YOLOv5模型
    168
  • 9
    Fastapi交互式文档实现方法讲解
    96
  • 10
    FastApi的搭建与测试
    128

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考